Bu makalede
dropdown icon
Yeni ve değiştirilmiş bilgiler
    Yeni ve değiştirilmiş bilgiler
dropdown icon
Çok Kiracılı Hibrit Veri Güvenliğine başlayın
    dropdown icon
    Çok Kiracılı Hibrit Veri Güvenliği Genel Bakışı
      Çok Kiracılı Hibrit Veri Güvenliği veri egemenliğini ve veri kontrolünü nasıl sağlar?
      Çok Kiracılı Hibrit Veri Güvenliğinin Sınırlamaları
      Çok Kiracılı Hibrit Veri Güvenliğindeki Roller
    dropdown icon
    Güvenlik Alanı Mimarisi
      Ayrılık Diyarları (Hibrit Veri Güvenliği Olmadan)
    Diğer Kuruluşlarla İşbirliği Yapmak
    Hibrit Veri Güvenliğinin Dağıtımına İlişkin Beklentiler
    Yüksek seviyeli Kurulum süreci
    dropdown icon
    Hibrit Veri Güvenliği Dağıtım Modeli
      Hibrit Veri Güvenliği Dağıtım Modeli
    dropdown icon
    Felaket Kurtarma için Bekleme Veri Merkezi
      Bekleme Veri Merkezine Manuel Devralma
    Proxy Desteği
dropdown icon
Ortamınızı hazırlama
    dropdown icon
    Çok Kiracılı Hibrit Veri Güvenliği için Gereksinimler
      Cisco Webex Lisans Gereksinimleri
      Docker Masaüstü Gereksinimleri
      X.509 Sertifika Gereksinimleri
      Sanal Sunucu Gereksinimleri
      Veritabanı sunucusu gereksinimleri
      Harici bağlantı gereksinimleri
      Proxy sunucusu gereksinimleri
    Hibrit Veri Güvenliği için Ön Koşulları Tamamlayın
dropdown icon
Hibrit Veri Güvenliği kümesini kurun
    Hibrit Veri Güvenliği Dağıtım Görev Akışı
    İlk kurulumu gerçekleştirin ve kurulum dosyalarını indirin
    HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun
    HDS Host OVA'yı yükleyin
    Hibrit Veri Güvenliği VM'sini kurun
    HDS Yapılandırma ISO'sunu Yükleyin ve Bağlayın
    Proxy entegrasyonu için HDS düğümünü yapılandırın
    Kümedeki ilk düğümü kaydedin
    Daha fazla düğüm oluşturun ve kaydedin
dropdown icon
Çok Kiracılı Hibrit Veri Güvenliğinde Kiracı kuruluşlarını yönetin
    Ortak Hub'da Çoklu Kiracı HDS'yi Etkinleştirin
    Ortak Hub'da kiracı kuruluşlarını ekleyin
    HDS Kurulum aracını kullanarak Müşteri Ana Anahtarları (CMK'ler) oluşturun
    Kiracı kuruluşlarını kaldırın
    HDS'den çıkarılan kiracıların CMK'larını iptal edin.
dropdown icon
Hibrit Veri Güvenliği dağıtımını test edin
    Hibrit Veri Güvenliği Dağıtımınızı Test Edin
    Hibrit Veri Güvenliği Sağlığını İzleyin
dropdown icon
HDS dağıtımınızı yönetin
    HDS Dağıtımını Yönetin
    Küme Yükseltme Programını Ayarla
    Düğüm Yapılandırmasını Değiştirin
    Engellenmiş harici DNS çözünürlük modunu kapat
    Bir Düğümü Kaldır
    Bekleme Veri Merkezini Kullanarak Felaket Kurtarma
    (İsteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Çıkarın
dropdown icon
Hibrit Veri Güvenliğinde Sorun Giderme
    Uyarıları Görüntüle ve Sorun Gider
    dropdown icon
    Uyarılar
      Yaygın Sorunlar ve Bunları Çözmek İçin Atılacak Adımlar
    Hibrit Veri Güvenliğinde Sorun Giderme
dropdown icon
Diğer notlar
    Hibrit Veri Güvenliği için Bilinen Sorunlar
    Podman Desktop'ı kullanarak HDS Kurulum aracını çalıştırın
    dropdown icon
    Control Hub'daki bir ortak kuruluşun mevcut tek kiracı HDS dağıtımını Partner Hub'daki Çok Kiracı HDS kurulumuna taşıyın
      HDS'yi devre dışı bırakın, düğümleri kayıttan çıkarın ve Kontrol Merkezi'ndeki kümeyi silin
      Ortak Hub'da ortak kuruluş için Çoklu Kiracı HDS'yi etkinleştirin ve müşterileri ekleyin
    PKCS12 Dosyası Oluşturmak İçin OpenSSL Kullanın
    HDS Düğümleri ile Bulut Arasındaki Trafik
    dropdown icon
    Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma
      WebSocket, SQUID Proxy Ile bağlanamıyor
dropdown icon
Çok Kiracılı Hibrit Veri Güvenliğini Devre Dışı Bırak
    Çoklu Kiracı HDS Devre Dışı Bırakma Görev Akışı
22 Mayıs 2025 | 8 görüntüleme(ler) | 0 kişi bunun yararlı olduğunu düşündü

Çoklu Kiracı Hibrit Veri Güvenliği (HDS) için Dağıtım Kılavuzu (Beta)

list-menuBu makalede
list-menuGeri Bildirim?

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tabloda yeni özellikler veya işlevler, mevcut içerikte yapılan değişiklikler ve Çok Kiracılı Karma Veri Güvenliği için Dağıtım Kılavuzu’nda düzeltilen tüm büyük hatalar ele alınmaktadır.

Tarih

Değişiklikler yapıldı

13 Aralık 2024

Ilk sürüm.

Çok Kiracılı Karma Veri Güvenliğini Devre Dışı Bırak

Çok Kiracılı HDS Devre Dışı Bırakma Görev Akışı

Çok Kiracılı HDS’yi tamamen devre dışı bırakmak için bu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Iş Ortağı tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldır’da belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde belirtildiği gibi tüm müşterilerin CMK’larını iptal edin.

3

Düğüm Kaldır’da belirtildiği gibi tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub’dan tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil ’i seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldır’ı seçin.
5

Karma Veri Güvenliğine genel bakış sayfasındaki Ayarlar sekmesine tıklayın ve HDS Durum kartında HDS’yi Devre Dışı Bırak ’a tıklayın.

Çok Kiracılı Karma Veri Güvenliği’ni kullanmaya başlayın

Çok Kiracılı Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Karma Veri Güvenliği , kuruluşların hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifrelemeyi ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel iş ortağı aracılığıyla HDS'den yararlanmasını sağlar. Bu kurulum, iş ortağı kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin harici erişime karşı güvenli olmasını sağlar. Iş ortağı kuruluşlar, HDS örneklerini kurar ve gerektiğinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine birden fazla müşteri kuruluşunu destekleyebilir.

Iş ortağı kuruluşların dağıtım ve yönetim üzerinde kontrolü olsa da, müşteriler tarafından oluşturulan verilere ve içeriğe erişimi yoktur. Bu erişim, müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Veri merkezleri gibi Anahtar yönetim hizmeti ve güvenlik altyapısı güvenilir yerel iş ortağına ait olduğundan bu, daha küçük kuruluşların HDS’den yararlanmasına da olanak tanır.

Çok Kiracılı Karma Veri Güvenliği, veri egemenliği ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerikler, bulut hizmeti sağlayıcıları gibi harici erişime karşı korunur.
  • Yerel güvenilir iş ortakları, önceden kurulmuş ilişkileri olan müşterilerin şifreleme anahtarlarını yönetir.
  • Iş ortağı tarafından belirtildiyse yerel teknik destek seçeneği.
  • Toplantılar, Mesajlaşma ve Arama içeriğini destekler.

Bu belge, iş ortağı kuruluşlarının Çok Kiracılı Karma Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmayı amaçlamaktadır.

Çok Kiracılı Karma Veri Güvenliğinde Roller

  • Iş Ortağı tam Yönetici - Iş ortağının yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Iş ortağı yönetici - Yöneticinin sağladığı veya kullanıcıya atanmış olan müşterilerin ayarlarını yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yerine getirme yetkisi olan iş ortağı kuruluşun yöneticisidir.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Iş ortağı tam yönetici ve Tam yönetici hakları gereklidir.
  • Atanan kiracı kuruluşlarının yönetimi - Iş ortağı yöneticisi ve Tam yönetici hakları gereklidir.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

  1. Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.

  2. Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.

  3. Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.

  4. Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Çok Kiracılı Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli bir taahhüt ve şifreleme anahtarlarına sahip olmanın riskleri hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

  • Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.

  • Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst düzey Kurulum süreci

Bu belgede, Çok Kiracılı Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

  • Karma Veri Güvenliğini Ayarlama—Buna, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımının yüklenmesi, bir HDS kümesi oluşturma, kümeye kiracı kuruluşları ekleme ve Müşteri Ana Anahtarlarını (CMK'lar) yönetme dahildir. Bu, müşteri kuruluşlarınızın tüm kullanıcılarının güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmasını sağlar.

    Kurulum, etkinleştirme ve yönetim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınır.

  • Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Partner Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarıları ayarlayabilirsiniz.

  • Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Partner Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Yük Devretme

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Karma Veri Güvenliğini dağıtmak için:

  • Iş Ortağı Kuruluşlar: Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Kuruluşları: Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı

Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.

  • Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır

  • Joker karakter sertifikası değil

CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, hds.company.com.

CN, bir * (joker karakter) içermemelidir.

CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar.

Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı PKCS #12 dosyası olarak biçimlendirildi

  • Sertifikayı, özel anahtarı ve yüklemek için tüm ara sertifikaları etiketlemek için kms-private-key kolay adını kullanın.

Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)

  • VMware ESXi 6.5 (veya sonraki sürümleri) yüklendi ve çalışıyor.

    ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

posix_times

SQL Sunucusu

  • PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.

  • SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

    SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.

  • HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yön

Hedef

Karma Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Common Identity toplantı sahipleri

  • Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Common Identity toplantı sahipleri

  • hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Iş ortağı kuruluşunuzda Çok Kiracılı HDS özelliğinin etkin olduğundan emin olun ve iş ortağı tam yönetici ve tam yönetici hakları olan bir hesabın kimlik bilgilerini alın. Webex müşteri kuruluşunuzun, Cisco Webex Control Hub için Pro Pack’e etkinleştirildiğinden emin olun. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşları mevcut HDS dağıtımına sahip olmamalıdır.

2

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.

3

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.

4

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir.

  1. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

6

Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).

7

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

8

Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin.

Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.

10

Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği kümesi ayarla

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

OVA dosyasını daha sonra kullanılmak üzere yerel makinenize indirin.

2

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Karma Veri Güvenliği VM’sini ayarlayın

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

VM'yi, HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirin.

HDS’yi etkinleştirin ve Partner Hub’da kiracı kuruluşlarını yönetin.

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

Bu görevde, bir OVA dosyasını makinenize (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil) indirirsiniz. Bu dosyayı daha sonra yükleme işleminde kullanırsınız.

1

Partner Hub’da oturum açın ve ardından Hizmetler’e tıklayın.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

3

Kaynak ekle ’ye ve Yazılımı Yükle ve Yapılandır kartında .OVA dosyasını indir ’e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden de indirebilirsiniz. Ayarlar > Yardım > Karma Veri Güvenliği yazılımını indir’e tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizdeki bir konuma kaydedin.
4

Isteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Karma veri güvenliği dağıtım kılavuzuna göz atın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında şu seçeneklere sahipsiniz:

  • Hayır: Ilk HDS düğümünüzü oluşturuyorsanız yüklenecek bir ISO dosyanız yoktur.
  • Evet: Daha önce HDS düğümleri oluşturduysanız, göz atmada ISO dosyanızı seçin ve yükleyin.
10

X.509 sertifikanızın, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşıladığından emin olun.

  • Daha önce hiç bir sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam’a tıklayın.
  • Sertifikanız tamam ise Devam’a tıklayın.
  • Sertifikanızın süresi dolmuşsa veya sertifikayı değiştirmek istiyorsanız Önceki ISO’dan HDS sertifika zincirini ve özel anahtarı kullanmaya devam et? için Hayır’ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam’a tıklayın.
11

Anahtar veri deponuza erişmek üzere HDS’nin veritabanı adresini ve hesabını girin:

  1. Veritabanı Türü (PostgreSQL veya Microsoft SQL Server) öğesini seçin.

    Microsoft SQL Server'ı seçerseniz, Kimlik Doğrulama Türü alanına sahip olursunuz.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzü seçin:

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesabı adına ihtiyacınız vardır.

    • Windows Kimlik Doğrulaması: Kullanıcı adı alanında kullanıcıadı@DOMAIN biçiminde bir Windows hesabına ihtiyacınız vardır.

  3. Veritabanı sunucusu adresini : veya : biçiminde girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulaması kullanıyorsanız dbhost.example.org:1433 biçiminde Tam Etki Alanı Adı girmelisiniz

  4. Veritabanı Adı’nı girin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adı ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modu’nu seçin:

Mode

Açıklama

TLS'yi Tercih Etme (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca, sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam'a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısı kurabilir.)

13

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

  1. Sistem günlüğü sunucusu URL'sini girin.

    Sunucu HDS kümeniz için düğümlerden DNS ile çözümlenebilir değilse URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 , UDP bağlantı noktası 514'te Syslogd ana bilgisayarına 10.92.43.23 günlüğe kaydedildiğini gösterir.

  2. Sunucunuzu TLS şifrelemesi kullanacak şekilde ayarladıysanız, Sistem günlüğü sunucunuz SSL şifrelemesi için yapılandırılmış mı? seçeneğini işaretleyin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL’si girdiğinizden emin olun.

  3. Sistem günlüğü kaydının sonlanmasını seç açılır menüsünden ISO dosyanız için uygun ayarı seçin: Gri Günlük ve Rsyslog TCP için Seç veya Yeni Hat Kullan

    • Boş bayt -- \x00

    • Yeni satır -- \n—Gri Günlük ve Rsyslog TCP için bu seçimi seçin.

  4. Devam Et'e tıklayın.

14

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar’da değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek seçenektir:

app_datasource_connection_pool_maxBoyut: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında Devam ’a tıklayın.

Hizmet hesabı parolalarının kullanım ömrü dokuz aydır. Parolalarınızın süresi dolmak üzere olduğunda veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını Indir’e tıklayın. Dosyayı bulmak kolay bir konuma kaydedin.

17

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın.

Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

18

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmanız veya yapılandırma değişiklikleri yapmanız gerekir. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybedersiniz. Anahtarları PostgreSQL veya Microsoft SQL Server veritabanınızdan kurtarmak mümkün değil.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından sanal bir makine oluşturmak için bu prosedürü kullanın.
1

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Dosya > OVF Şablonunu Dağıt'ı seçin.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından Ileri’ye tıklayın.

4

Ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, “HDS_Node_1”), sanal makine düğümü dağıtımının bulunabileceği bir konum seçin ve ardından Ileri’ye tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından Ileri’ye tıklayın.

Bir doğrulama kontrolü çalışır. Işlem tamamlandıktan sonra şablon ayrıntıları görüntülenir.

6

Şablon ayrıntılarını doğrulayıp Ileri’ye tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU ’ya ve ardından Ileri’ye tıklayın.

8

Depolama alanını seçin sayfasında, varsayılan disk biçimi ve sanal makine depolama politikasını kabul etmek için Ileri ’ye tıklayın.

9

Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

  • Ana bilgisayar adı—FQDN'yi (ana bilgisayar adı ve etki alanı) veya düğüm için tek kelime ana bilgisayar adını girin.

    • Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

    • Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri aşmamalıdır.

  • IP Adresi— Düğümün dahili arayüzünün IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören ağ düğümüdür.
  • DNS Sunucuları—Etki alanı adlarının sayısal IP adreslerine çevrilmesiyle ilgilenen, virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
  • NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağda veya VLAN’da dağıtın, böylece bir kümedeki tüm düğümlere yönetim amaçları doğrultusunda ağınızdaki istemcilerden ulaşılabilir olur.

Tercih edilirse ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 6.5 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm sanal makinesine sağ tıklayın ve ardından Güç > Güç Aç'ı seçin.

Karma Veri Güvenliği yazılımı, sanal makine ana bilgisayarında konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm konteynerleri açılmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk başlatma sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görüntülenir.

Karma Veri Güvenliği VM’sini ayarlayın

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Karma Veri Güvenliği düğümü VM'nizi ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmiyorsa Enter tuşuna basın.
2

Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın:

  1. Oturum Açma: Yönetici

  2. Parola: Cisco

Sanal makinenizde ilk kez oturum açtığınızdan, yönetici parolasını değiştirmeniz gerekir.

3

HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını zaten yapılandırdıysanız bu prosedürün geri kalanını atlayın. Aksi takdirde, ana menüde Yapılandırmayı Düzenle seçeneğini belirleyin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(Isteğe bağlı) Ağ politikanızla eşleşmek için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin.

Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, dosya yalnızca Karma Veri Güvenliği sanal makinelerinin ve değişiklik yapması gerekebilecek yöneticilerin erişim için "bilinmesi gereken" temelinde gösterilmelidir. Yalnızca bu yöneticilerin veri deposuna erişebildiğinden emin olun.

1

Bilgisayarınızdan ISO dosyasını yükleyin:

  1. VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinden Depolama’ya tıklayın.

  3. Veri Depoları listesinde, sanal makinelerinizin veri mağazasına sağ tıklayın ve Veri Mağazasına Gözat'a tıklayın.

  4. Dosya Yükle simgesine ve ardından Dosya Yükle’ye tıklayın.

  5. ISO dosyasını bilgisayarınıza indirdiğiniz konuma gidin ve ’a tıklayın.

  6. Yükleme/indirme işlemi uyarısını kabul etmek için Evet ’e tıklayın ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Kısıtlanmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Sürücü 1'e tıklayın, veri deposu ISO dosyasından bağlanma seçeneğini seçin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Açıldığında bağlan’ı işaretleyin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasının bağlantısını kaldırabilirsiniz. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir Web tarayıcısına HDS düğüm kurulum URL 'sini https://[HDS düğüm IP veya FQDN]/kurulum girin , düğüm için kurduğunuz yönetici kimlik bilgilerini girin ve ardından oturum aç 'a tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok: Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlenmeyen Proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy: Açık proxy ile istemciye hangi proxy sunucusunu kullanacağını (HDS düğümleri) söylersiniz ve bu seçenek birkaç kimlik doğrulama türünü destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve Engellenen Harici DNS Çözünürlük Modunu Kapat bölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev, Karma Veri Güvenliği sanal makinesini ayarla’da oluşturduğunuz genel düğümü alır, düğümü Webex buluta kaydeder ve bir Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

4

Açılan sayfada Kaynak ekle’ye tıklayın.

5

Düğüm ekle kartının ilk alanında, Karma Veri Güvenliği düğümünüzü atamak istediğiniz kümenin adını girin.

Kümeyi, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

Ikinci alanda, düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle ’ye tıklayın.

Bu IP adresi veya FQDN, Karma Veri Güvenliği VM’sini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex’e kaydedebileceğinizi gösteren bir mesaj görünür.
7

Düğüme Git’e tıklayın.

Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

8

Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.
9

Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesinde görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve ardından düğümü kaydetmeniz yeterlidir. En az 3 düğümün olmasını öneririz.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

OVA'dan HDS Ana Bilgisayar OVA'sını Yükleme adımlarını tekrarlayarak yeni bir sanal makine oluşturun.

2

Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinenin ilk yapılandırmasını ayarlayın.

3

Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Montaj bölümündeki adımları tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği şekilde tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com üzerinde, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

  2. Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Tümünü görüntüle’ye tıklayın.

    Karma Veri Güvenliği Kaynakları sayfası açılır.

  3. Yeni oluşturulan küme, Kaynaklar sayfasında görünecektir.

  4. Kümeye atanan düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle ’ye tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekle’ye tıklayın.

    Düğümünüzü Webex buluta kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

  7. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

    Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.

  8. Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

    Eklenen düğüm açılır mesajı da Partner Hub'da ekranın alt kısmında görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Karma Veri Güvenliği’nde Kiracı kuruluşlarını yönet

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirme

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Şirket Içi şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS’den yararlanmaya başlamasını sağlar.

Başlamadan önce

Çok Kiracılı HDS kümenizi gerekli sayıda düğüm ile kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

4

HDS Durumu kartında HDS’yi Etkinleştir ’e tıklayın.

Partner Hub’a kiracı kuruluşları ekle

Bu görevde, müşteri kuruluşlarını Karma Veri Güvenliği Kümenize atayabilirsiniz.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanan müşteriler sekmesine gidin.

6

Müşteri ekle’ye tıklayın.

7

Açılır menüden eklemek istediğiniz müşteriyi seçin.

8

Ekle’ye tıkladığınızda müşteri kümeye eklenir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ’ye tıklayın.

Sonraki işlemler

Kurulum işlemini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma bölümünde açıklanan şekilde HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma

Başlamadan önce

Partner Hub’da kiracı kuruluşları ekle bölümünde ayrıntılı olarak açıklandığı şekilde müşterileri uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlantı kurulduğundan emin olun.
11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK oluştur veya CMK oluştur - Yeni eklenen tüm kuruluşlar için CMK oluşturmak için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve yeni eklenen tüm kuruluşlar için CMK oluşturmak için CMK oluştur ’a tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleme durumunun yanındaki … öğesine tıklayın ve CMK oluştur öğesine tıklayarak o kuruluş için CMK oluşturun.
12

CMK oluşturma başarılı olduktan sonra, tablodaki durum CMK yönetimi beklemede iken CMK yönetimine geçecektir.

13

CMK oluşturma başarısız olursa bir hata görüntülenir.

Kiracı kuruluşlarını kaldır

Başlamadan önce

Kaldırıldıktan sonra, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS’den yararlanamayacak ve mevcut tüm alanları kaybedecektir. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanan Müşteriler’e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğesine ve Kümeden kaldır seçeneğine tıklayın.

Sonraki işlemler

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde açıklandığı şekilde müşteri kuruluşlarının CMK’larını iptal ederek kaldırma işlemini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Kiracı kuruluşlarını kaldır bölümünde açıklanan şekilde müşterileri uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK’yı iptal et veya CMK’yı iptal et - Kaldırılan tüm kuruluşların CMK’larını iptal etmek için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve kaldırılan tüm kuruluşların CMK’larını iptal etmek için CMK’ları iptal et ’e tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilmesi için CMK durumunun yanındaki ... seçeneğine tıklayın ve belirli bir kuruluşun CMK'sını iptal etmek için CMK'yı iptal et seçeneğine tıklayın.
12

CMK iptali başarılı olduktan sonra müşteri kuruluşu artık tabloda görünmez.

13

CMK iptali başarısız olursa bir hata görüntülenir.

Karma Veri Güvenliği dağıtımınızı test edin

Karma Veri Güvenliği Dağıtımınızı Test Etme

Çok Kiracılı Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Karma Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

1

Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve bir alan oluşturun.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra kullanıcıların oluşturduğu alanlardaki içeriğe artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

  1. Önce KMS'de güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION'da filtreleyin:

    Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmış):
    2020-07-21 17:35:34.562 (+0000) BILGI KMS [pool-14-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS’den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:19.889 (+0000) BILGI KMS [pool-14-thread-31] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:21.975 (+0000) BILGI KMS [pool-14-thread-33] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir: 
    2020-07-21 17:44:22.808 (+0000) BILGI KMS [pool-15-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Durumunu Izleme

Partner Hub’daki durum göstergesi, Çok Kiracılı Karma Veri Güvenliği konuşlandırması ile ilgili her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarı için e-posta bildirimlerine kaydolun. Hizmeti etkileyen uyarı veya yazılım yükseltmeleri olduğunda bildirim alacaksınız.
1

Partner Hub’da, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

Karma Veri Güvenliği Ayarları sayfası açılır.
3

E-posta Bildirimleri bölümünde virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönet

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planını Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlayan küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı belirleyebilir veya Amerika Birleşik Devletleri Günlük 15:00 varsayılan planını kullanabilirsiniz: Amerika/Los Angeles. Gerekirse, yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Kur'a tıklayın

4

Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Planı altında yükseltme planı için saat ve saat dilimini seçin.

Not: Saat dilimi altında, bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerekirse 24 saat ertele seçeneğine tıklayarak yükseltmeyi bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama—Eski ve yeni parolaların her ikisi de 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Zorla sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, iş ortağı tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 1.e’de Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker çekme ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker çekme ciscocitg/hds-setup-fedramp:kararlı

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışıyorsa, "Bağlantı noktası 8080'i dinleyen Express sunucusunu" görüntülersiniz.

  6. Localhost'a bağlanmak için tarayıcı kullanın.http://127.0.0.1:8080

    Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

  7. Istendiğinde, Partner Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et ’e tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızca bir HDS düğümü çalışıyorsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha fazla düğüm oluşturma ve kaydetme.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni düğümü Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Karma Veri Güvenliği düğüm arabirimini (IP adresi/kurulum, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve Oturum Aç’a tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğüm Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.
1

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Düğümü kaldır:

  1. Partner Hub’da oturum açın ve ardından Hizmetler’i seçin.

  2. Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle ’ye tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümün kaydını sil 'e tıklayın

  6. Düğümün sağ tarafındaki … öğesine tıklayarak ve Bu düğümü kaldır’ı seçerek de düğümün kaydını silebilirsiniz.

3

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil'e tıklayın.)

Sanal makineyi silmezseniz, yapılandırma ISO dosyasının bağlantısını kaldırmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Karma Veri Güvenliğine atanan her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyeleri, alma yetkisi olan kullanıcılara iade etmekten de sorumludur.

Küme bu anahtarları sağlamanın kritik işlevini yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin sürdürülmesi zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriği GERI ALINAMAZ BIR ŞEKILDE KAYIPINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamalar zorunludur:

Bir felaket, birincil veri merkezindeki HDS dağıtımının kullanılamamasına neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü izleyin.

Başlamadan önce

Düğüm Kaldırma’da belirtildiği gibi Partner Hub’daki tüm düğümlerin kaydını kaldırın. Aşağıda belirtilen yük devretme prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümleri için yapılandırılan en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin.

2

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.

3

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin.

Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

7

Düğümü Partner hub’a kaydedin. Kümedeki ilk düğümü kaydet’e bakın.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Yük devretmeden sonra, birincil veri merkezi tekrar aktif hale gelirse, bekleme veri merkezinin düğümlerinin kaydını kaldırın ve yukarıda belirtildiği gibi ISO'yu yapılandırma ve birincil veri merkezinin düğümlerini kaydetme işlemini tekrarlayın.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldır

Standart HDS yapılandırması, ISO takılı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte etmemeyi tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasının bağlantısını kaldırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenen ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonrasına yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Sunucu Aygıtında HDS düğümünü seçin.

3

Ayarları Düzenle > CD/DVD sürücüsü ’nü seçin ve Datastore ISO Dosyası seçeneğinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika alarm olmadığından emin olun.

5

Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları Görüntüleme ve Sorun Giderme

Karma Veri Güvenliği dağıtımının, kümedeki tüm düğümlere ulaşılamıyorsa veya küme zaman aşımı isteyen çok yavaş çalışıyorsa kullanılamıyor olduğu düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Şunlar için mesajlar ve alan başlıklarının şifresi çözülemiyor:

    • Alana eklenen yeni kullanıcılar (anahtarlar alınamıyor)

    • Yeni istemci kullanan bir alanda bulunan kullanıcılar (anahtarlar alınamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintisi yaşanmasını önlemek için Karma Veri Güvenliği kümenizi düzgün şekilde izlemeniz ve uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumunda bir sorun olduğunda, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Yaygın Sorunlar ve Bunları Çözme Adımları

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmeti erişim hatası.

Düğümlerin Harici bağlantı gereksinimleri bölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut hizmeti kaydının yenilenmesi.

Bulut hizmetlerine kayıt bağlantısı kesildi. Kaydın yenilenmesi devam ediyor.

Bulut hizmeti kaydı sonlandırıldı.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz etkinleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

Bunun en olası nedeni, sertifika CN’sinin yakın zamanda değişmiş olması ve artık ilk kurulum sırasında kullanılan CN’den farklı olmasıdır.

Bulut hizmetleriyle kimlik doğrulanamadı.

Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası süre sonu olup olmadığını kontrol edin.

Yerel keystore dosyası açılamadı.

Yerel anahtar deposu dosyasında bütünlük ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından düzenlendiğini onaylayın.

Ölçümler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizini mevcut değil.

Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarılı bir şekilde bağlandığını doğrulayın.

Eklenen kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı'nı kullanarak yeni eklenen kiracı kuruluşları için CMK oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşlarının CMK’larını iptal ederek kurulumu tamamlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Tüm uyarılar için Partner Hub’ı gözden geçirin ve burada bulduğunuz tüm öğeleri düzeltin. Referans için aşağıdaki resme bakın.

2

Karma Veri Güvenliği dağıtımında etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi kelimeleri filtreleyin.

3

Cisco destek ile iletişime geçin.

Diğer notlar

Karma Veri Güvenliği için Bilinen Sorunlar

  • Karma Veri Güvenliği kümenizi kapatırsanız (Partner Hub’da silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı veya anahtar deposu veritabanına erişimi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Şu anda bu sorun için bir çözüm veya çözümümüz yok ve HDS hizmetleriniz etkin kullanıcı hesaplarını işledikten sonra kapatmamanızı rica ediyoruz.

  • Bir KMS'ye mevcut bir ECDH bağlantısı olan bir istemci, bu bağlantıyı belirli bir süre (muhtemelen bir saat) korur.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yüklemek için uygun biçimde yapmak için kullanılabilen bir araçtır. Bunu yapmanın başka yolları da vardır ve biz bir yoldan diğerine desteklemez veya teşvik etmeyiz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleri'nde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sunuyoruz. Devam etmeden önce bu gereksinimleri anlayın.

  • OpenSSL'yi desteklenen bir ortama yükleyin. Yazılım ve belgeler https://www.openssl.org için bkz.

  • Özel anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

CA'nızdan sunucu sertifikasını aldığınızda, bunu hdsnode.pem olarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

OpenSSL functions

3

hdsnode-bundle.pem adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası, sunucu sertifikasını, herhangi bir ara sertifika yetkilisi sertifikasını ve kök sertifika yetkilisi sertifikalarını aşağıdaki biçimde içermelidir:

-----BEGIN CERTIFICATE------ ### Sunucu sertifikası. ### -----END CERTIFICATE-------- BEGIN CERTIFICATE----- ### Ara CA sertifikası. ### -----END CERTIFICATE------- BEGIN CERTIFICATE-------  ### Kök CA sertifikası. ### -----END CERTIFICATE---------- END CERTIFICATE------

4

.p12 dosyasını kms-private-key adlı dostane adla oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifikası ayrıntılarını kontrol edin.

  1. openssl pkcs12 - in hdsnode.p12

  2. Çıktıda listelenmesi için özel anahtarı şifrelemek üzere istemde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın hatlarını friendlyName: kms-private-key.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12 Içe Aktarma Parolasını Girin: MAC tarafından doğrulanmış Tamam Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Anahtar Öznitelikler:  PEM parolasını girin: Doğrulanıyor - PEM parolayı girin: -----ŞIFRELI ÖZEL ANAHTARI BAŞLAT-----  -----ŞIFRELI ÖZEL ANAHTAR BITIR----- Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE------

Sonraki işlemler

Karma Veri Güvenliği Için Ön Koşulları Tamamlama’ya dönün. HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma bölümünde hdsnode.p12 dosyasını ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika istemek için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut arasındaki trafik

Giden Metrikler Toplama Trafiği

Karma Veri Güvenliği düğümleri, belirli ölçümleri Webex buluta gönderir. Bunlar; yığın maks., kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem metrikleri; senkronize ve asenkron iş parçacıklarındaki metrikler; şifreleme bağlantılarının eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılara ilişkin metrikler; veri deposundaki metrikler ve şifreleme bağlantı metrikleri içerir. Düğümler, şifreli anahtar materyali bant dışı (istekten ayrı) kanal üzerinden gönderir.

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex buluttan aşağıdaki gelen trafik türlerini alır:

  • Istemcilerden gelen ve şifreleme hizmeti tarafından yönlendirilen şifreleme istekleri

  • Düğüm yazılımına yükseltilir

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu bölümler, WSS kimliği 'nin çeşitli sürümlerinin WSS 'yi yoksayması hakkında rehberlik verir : hizmetlerinin düzgün çalışması için trafik.

SQUID 4 ve 5

on_unsupported_protocol Yönergeyi squid.conf’a ekleyin:

on_unsupported_protocol tünel tümü

Squid 3.5.27

Squid. conf dosyasına eklenen aşağıdaki kurallarla karma veri güvenliğini başarıyla test ettik . Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex cıva-bağlantı ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump göz atma step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tabloda yeni özellikler veya işlevler, mevcut içerikte yapılan değişiklikler ve Çok Kiracılı Karma Veri Güvenliği için Dağıtım Kılavuzu’nda düzeltilen tüm büyük hatalar ele alınmaktadır.

Tarih

Değişiklikler yapıldı

08 Ocak 2025

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin ’e, Partner Hub’daki HDS kartında Kur ’a tıklandığında yükleme işleminin önemli bir adımı olduğunu belirten bir not eklendi.

07 Ocak 2025

Yeni ESXi 7.0 gereksinimini göstermek için Sanal Toplantı Sahibi Gereksinimleri, Karma Veri Güvenliği Dağıtım Görev Akışı ve HDS Ana Bilgisayar OVA'sını Yükle güncellendi.

13 Aralık 2024

Ilk yayınlandı.

Çok Kiracılı Karma Veri Güvenliğini Devre Dışı Bırak

Çok Kiracılı HDS Devre Dışı Bırakma Görev Akışı

Çok Kiracılı HDS’yi tamamen devre dışı bırakmak için bu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Iş Ortağı tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldır’da belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde belirtildiği gibi tüm müşterilerin CMK’larını iptal edin.

3

Düğüm Kaldır’da belirtildiği gibi tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub’dan tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil ’i seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldır’ı seçin.
5

Karma Veri Güvenliğine genel bakış sayfasındaki Ayarlar sekmesine tıklayın ve HDS Durum kartında HDS’yi Devre Dışı Bırak ’a tıklayın.

Çok Kiracılı Karma Veri Güvenliği’ni kullanmaya başlayın

Çok Kiracılı Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Karma Veri Güvenliği , kuruluşların hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifrelemeyi ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel iş ortağı aracılığıyla HDS'den yararlanmasını sağlar. Bu kurulum, iş ortağı kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin harici erişime karşı güvenli olmasını sağlar. Iş ortağı kuruluşlar, HDS örneklerini kurar ve gerektiğinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine birden fazla müşteri kuruluşunu destekleyebilir.

Iş ortağı kuruluşların dağıtım ve yönetim üzerinde kontrolü olsa da, müşteriler tarafından oluşturulan verilere ve içeriğe erişimi yoktur. Bu erişim, müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Veri merkezleri gibi Anahtar yönetim hizmeti ve güvenlik altyapısı güvenilir yerel iş ortağına ait olduğundan bu, daha küçük kuruluşların HDS’den yararlanmasına da olanak tanır.

Çok Kiracılı Karma Veri Güvenliği, veri egemenliği ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerikler, bulut hizmeti sağlayıcıları gibi harici erişime karşı korunur.
  • Yerel güvenilir iş ortakları, önceden kurulmuş ilişkileri olan müşterilerin şifreleme anahtarlarını yönetir.
  • Iş ortağı tarafından belirtildiyse yerel teknik destek seçeneği.
  • Toplantılar, Mesajlaşma ve Arama içeriğini destekler.

Bu belge, iş ortağı kuruluşlarının Çok Kiracılı Karma Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmayı amaçlamaktadır.

Çok Kiracılı Karma Veri Güvenliğinde Roller

  • Iş Ortağı tam Yönetici - Iş ortağının yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Iş ortağı yönetici - Yöneticinin sağladığı veya kullanıcıya atanmış olan müşterilerin ayarlarını yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yerine getirme yetkisi olan iş ortağı kuruluşun yöneticisidir.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Iş ortağı tam yönetici ve Tam yönetici hakları gereklidir.
  • Atanan kiracı kuruluşlarının yönetimi - Iş ortağı yöneticisi ve Tam yönetici hakları gereklidir.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

  1. Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.

  2. Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.

  3. Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.

  4. Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Çok Kiracılı Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli bir taahhüt ve şifreleme anahtarlarına sahip olmanın riskleri hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

  • Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.

  • Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst düzey Kurulum süreci

Bu belgede, Çok Kiracılı Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

  • Karma Veri Güvenliğini Ayarlama—Buna, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımının yüklenmesi, bir HDS kümesi oluşturma, kümeye kiracı kuruluşları ekleme ve Müşteri Ana Anahtarlarını (CMK'lar) yönetme dahildir. Bu, müşteri kuruluşlarınızın tüm kullanıcılarının güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmasını sağlar.

    Kurulum, etkinleştirme ve yönetim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınır.

  • Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Partner Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarıları ayarlayabilirsiniz.

  • Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Partner Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Yük Devretme

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Karma Veri Güvenliğini dağıtmak için:

  • Iş Ortağı Kuruluşlar: Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Kuruluşları: Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı

Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.

  • Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır

  • Joker karakter sertifikası değil

CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, hds.company.com.

CN, bir * (joker karakter) içermemelidir.

CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar.

Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı PKCS #12 dosyası olarak biçimlendirildi

  • Sertifikayı, özel anahtarı ve yüklemek için tüm ara sertifikaları etiketlemek için kms-private-key kolay adını kullanın.

Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)

  • VMware ESXi 7.0 (veya sonraki sürümleri) yüklendi ve çalışıyor.

    ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

posix_times

SQL Sunucusu

  • PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.

  • SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

    SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.

  • HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yön

Hedef

Karma Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Common Identity toplantı sahipleri

  • Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Common Identity toplantı sahipleri

  • hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Iş ortağı kuruluşunuzda Çok Kiracılı HDS özelliğinin etkin olduğundan emin olun ve iş ortağı tam yönetici ve tam yönetici hakları olan bir hesabın kimlik bilgilerini alın. Webex müşteri kuruluşunuzun, Cisco Webex Control Hub için Pro Pack’e etkinleştirildiğinden emin olun. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşları mevcut HDS dağıtımına sahip olmamalıdır.

2

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.

3

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.

4

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir.

  1. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

6

Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).

7

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

8

Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin.

Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.

10

Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği kümesi ayarla

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

OVA dosyasını daha sonra kullanılmak üzere yerel makinenize indirin.

2

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Karma Veri Güvenliği VM’sini ayarlayın

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

VM'yi, HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirin.

HDS’yi etkinleştirin ve Partner Hub’da kiracı kuruluşlarını yönetin.

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

Bu görevde, bir OVA dosyasını makinenize (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil) indirirsiniz. Bu dosyayı daha sonra yükleme işleminde kullanırsınız.

1

Partner Hub’da oturum açın ve ardından Hizmetler’e tıklayın.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

Partner Hub’da Kur ’a tıklamak, dağıtım işlemi için önemlidir. Bu adımı tamamlamadan yükleme işlemine devam etmeyin.

3

Kaynak ekle ’ye ve Yazılımı Yükle ve Yapılandır kartında .OVA dosyasını indir ’e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden de indirebilirsiniz. Ayarlar > Yardım > Karma Veri Güvenliği yazılımını indir’e tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizdeki bir konuma kaydedin.
4

Isteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Karma veri güvenliği dağıtım kılavuzuna göz atın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında şu seçeneklere sahipsiniz:

  • Hayır: Ilk HDS düğümünüzü oluşturuyorsanız yüklenecek bir ISO dosyanız yoktur.
  • Evet: Daha önce HDS düğümleri oluşturduysanız, göz atmada ISO dosyanızı seçin ve yükleyin.
10

X.509 sertifikanızın, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşıladığından emin olun.

  • Daha önce hiç bir sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam’a tıklayın.
  • Sertifikanız tamam ise Devam’a tıklayın.
  • Sertifikanızın süresi dolmuşsa veya sertifikayı değiştirmek istiyorsanız Önceki ISO’dan HDS sertifika zincirini ve özel anahtarı kullanmaya devam et? için Hayır’ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam’a tıklayın.
11

Anahtar veri deponuza erişmek üzere HDS’nin veritabanı adresini ve hesabını girin:

  1. Veritabanı Türü (PostgreSQL veya Microsoft SQL Server) öğesini seçin.

    Microsoft SQL Server'ı seçerseniz, Kimlik Doğrulama Türü alanına sahip olursunuz.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzü seçin:

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesabı adına ihtiyacınız vardır.

    • Windows Kimlik Doğrulaması: Kullanıcı adı alanında kullanıcıadı@DOMAIN biçiminde bir Windows hesabına ihtiyacınız vardır.

  3. Veritabanı sunucusu adresini : veya : biçiminde girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulaması kullanıyorsanız dbhost.example.org:1433 biçiminde Tam Etki Alanı Adı girmelisiniz

  4. Veritabanı Adı’nı girin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adı ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modu’nu seçin:

Mode

Açıklama

TLS'yi Tercih Etme (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca, sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam'a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısı kurabilir.)

13

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

  1. Sistem günlüğü sunucusu URL'sini girin.

    Sunucu HDS kümeniz için düğümlerden DNS ile çözümlenebilir değilse URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 , UDP bağlantı noktası 514'te Syslogd ana bilgisayarına 10.92.43.23 günlüğe kaydedildiğini gösterir.

  2. Sunucunuzu TLS şifrelemesi kullanacak şekilde ayarladıysanız, Sistem günlüğü sunucunuz SSL şifrelemesi için yapılandırılmış mı? seçeneğini işaretleyin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL’si girdiğinizden emin olun.

  3. Sistem günlüğü kaydının sonlanmasını seç açılır menüsünden ISO dosyanız için uygun ayarı seçin: Gri Günlük ve Rsyslog TCP için Seç veya Yeni Hat Kullan

    • Boş bayt -- \x00

    • Yeni satır -- \n—Gri Günlük ve Rsyslog TCP için bu seçimi seçin.

  4. Devam Et'e tıklayın.

14

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar’da değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek seçenektir:

app_datasource_connection_pool_maxBoyut: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında Devam ’a tıklayın.

Hizmet hesabı parolalarının kullanım ömrü dokuz aydır. Parolalarınızın süresi dolmak üzere olduğunda veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını Indir’e tıklayın. Dosyayı bulmak kolay bir konuma kaydedin.

17

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın.

Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

18

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmanız veya yapılandırma değişiklikleri yapmanız gerekir. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybedersiniz. Anahtarları PostgreSQL veya Microsoft SQL Server veritabanınızdan kurtarmak mümkün değil.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından sanal bir makine oluşturmak için bu prosedürü kullanın.
1

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Dosya > OVF Şablonunu Dağıt'ı seçin.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından Ileri’ye tıklayın.

4

Ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, “HDS_Node_1”), sanal makine düğümü dağıtımının bulunabileceği bir konum seçin ve ardından Ileri’ye tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından Ileri’ye tıklayın.

Bir doğrulama kontrolü çalışır. Işlem tamamlandıktan sonra şablon ayrıntıları görüntülenir.

6

Şablon ayrıntılarını doğrulayıp Ileri’ye tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU ’ya ve ardından Ileri’ye tıklayın.

8

Depolama alanını seçin sayfasında, varsayılan disk biçimi ve sanal makine depolama politikasını kabul etmek için Ileri ’ye tıklayın.

9

Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

  • Ana bilgisayar adı—FQDN'yi (ana bilgisayar adı ve etki alanı) veya düğüm için tek kelime ana bilgisayar adını girin.

    • Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

    • Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri aşmamalıdır.

  • IP Adresi— Düğümün dahili arayüzünün IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören ağ düğümüdür.
  • DNS Sunucuları—Etki alanı adlarının sayısal IP adreslerine çevrilmesiyle ilgilenen, virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
  • NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağda veya VLAN’da dağıtın, böylece bir kümedeki tüm düğümlere yönetim amaçları doğrultusunda ağınızdaki istemcilerden ulaşılabilir olur.

Tercih edilirse ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm sanal makinesine sağ tıklayın ve ardından Güç > Güç Aç'ı seçin.

Karma Veri Güvenliği yazılımı, sanal makine ana bilgisayarında konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm konteynerleri açılmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk başlatma sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görüntülenir.

Karma Veri Güvenliği VM’sini ayarlayın

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Karma Veri Güvenliği düğümü VM'nizi ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmiyorsa Enter tuşuna basın.
2

Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın:

  1. Oturum Açma: Yönetici

  2. Parola: Cisco

Sanal makinenizde ilk kez oturum açtığınızdan, yönetici parolasını değiştirmeniz gerekir.

3

HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını zaten yapılandırdıysanız bu prosedürün geri kalanını atlayın. Aksi takdirde, ana menüde Yapılandırmayı Düzenle seçeneğini belirleyin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(Isteğe bağlı) Ağ politikanızla eşleşmek için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin.

Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, dosya yalnızca Karma Veri Güvenliği sanal makinelerinin ve değişiklik yapması gerekebilecek yöneticilerin erişim için "bilinmesi gereken" temelinde gösterilmelidir. Yalnızca bu yöneticilerin veri deposuna erişebildiğinden emin olun.

1

Bilgisayarınızdan ISO dosyasını yükleyin:

  1. VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinden Depolama’ya tıklayın.

  3. Veri Depoları listesinde, sanal makinelerinizin veri mağazasına sağ tıklayın ve Veri Mağazasına Gözat'a tıklayın.

  4. Dosya Yükle simgesine ve ardından Dosya Yükle’ye tıklayın.

  5. ISO dosyasını bilgisayarınıza indirdiğiniz konuma gidin ve ’a tıklayın.

  6. Yükleme/indirme işlemi uyarısını kabul etmek için Evet ’e tıklayın ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Kısıtlanmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Sürücü 1'e tıklayın, veri deposu ISO dosyasından bağlanma seçeneğini seçin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Açıldığında bağlan’ı işaretleyin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasının bağlantısını kaldırabilirsiniz. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir Web tarayıcısına HDS düğüm kurulum URL 'sini https://[HDS düğüm IP veya FQDN]/kurulum girin , düğüm için kurduğunuz yönetici kimlik bilgilerini girin ve ardından oturum aç 'a tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok: Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlenmeyen Proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy: Açık proxy ile istemciye hangi proxy sunucusunu kullanacağını (HDS düğümleri) söylersiniz ve bu seçenek birkaç kimlik doğrulama türünü destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve Engellenen Harici DNS Çözünürlük Modunu Kapat bölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev, Karma Veri Güvenliği sanal makinesini ayarla’da oluşturduğunuz genel düğümü alır, düğümü Webex buluta kaydeder ve bir Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

4

Açılan sayfada Kaynak ekle’ye tıklayın.

5

Düğüm ekle kartının ilk alanında, Karma Veri Güvenliği düğümünüzü atamak istediğiniz kümenin adını girin.

Kümeyi, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

Ikinci alanda, düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle ’ye tıklayın.

Bu IP adresi veya FQDN, Karma Veri Güvenliği VM’sini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex’e kaydedebileceğinizi gösteren bir mesaj görünür.
7

Düğüme Git’e tıklayın.

Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

8

Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.
9

Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesinde görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve ardından düğümü kaydetmeniz yeterlidir. En az 3 düğümün olmasını öneririz.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

OVA'dan HDS Ana Bilgisayar OVA'sını Yükleme adımlarını tekrarlayarak yeni bir sanal makine oluşturun.

2

Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinenin ilk yapılandırmasını ayarlayın.

3

Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Montaj bölümündeki adımları tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği şekilde tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com üzerinde, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

  2. Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Tümünü görüntüle’ye tıklayın.

    Karma Veri Güvenliği Kaynakları sayfası açılır.

  3. Yeni oluşturulan küme, Kaynaklar sayfasında görünecektir.

  4. Kümeye atanan düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle ’ye tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekle’ye tıklayın.

    Düğümünüzü Webex buluta kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

  7. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

    Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.

  8. Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

    Eklenen düğüm açılır mesajı da Partner Hub'da ekranın alt kısmında görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Karma Veri Güvenliği’nde Kiracı kuruluşlarını yönet

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirme

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Şirket Içi şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS’den yararlanmaya başlamasını sağlar.

Başlamadan önce

Çok Kiracılı HDS kümenizi gerekli sayıda düğüm ile kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

4

HDS Durumu kartında HDS’yi Etkinleştir ’e tıklayın.

Partner Hub’a kiracı kuruluşları ekle

Bu görevde, müşteri kuruluşlarını Karma Veri Güvenliği Kümenize atayabilirsiniz.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanan müşteriler sekmesine gidin.

6

Müşteri ekle’ye tıklayın.

7

Açılır menüden eklemek istediğiniz müşteriyi seçin.

8

Ekle’ye tıkladığınızda müşteri kümeye eklenir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ’ye tıklayın.

Sonraki işlemler

Kurulum işlemini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma bölümünde açıklanan şekilde HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma

Başlamadan önce

Partner Hub’da kiracı kuruluşları ekle bölümünde ayrıntılı olarak açıklandığı şekilde müşterileri uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlantı kurulduğundan emin olun.
11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK oluştur veya CMK oluştur - Yeni eklenen tüm kuruluşlar için CMK oluşturmak için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve yeni eklenen tüm kuruluşlar için CMK oluşturmak için CMK oluştur ’a tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleme durumunun yanındaki … öğesine tıklayın ve CMK oluştur öğesine tıklayarak o kuruluş için CMK oluşturun.
12

CMK oluşturma başarılı olduktan sonra, tablodaki durum CMK yönetimi beklemede iken CMK yönetimine geçecektir.

13

CMK oluşturma başarısız olursa bir hata görüntülenir.

Kiracı kuruluşlarını kaldır

Başlamadan önce

Kaldırıldıktan sonra, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS’den yararlanamayacak ve mevcut tüm alanları kaybedecektir. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanan Müşteriler’e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğesine ve Kümeden kaldır seçeneğine tıklayın.

Sonraki işlemler

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde açıklandığı şekilde müşteri kuruluşlarının CMK’larını iptal ederek kaldırma işlemini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Kiracı kuruluşlarını kaldır bölümünde açıklanan şekilde müşterileri uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK’yı iptal et veya CMK’yı iptal et - Kaldırılan tüm kuruluşların CMK’larını iptal etmek için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve kaldırılan tüm kuruluşların CMK’larını iptal etmek için CMK’ları iptal et ’e tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilmesi için CMK durumunun yanındaki ... seçeneğine tıklayın ve belirli bir kuruluşun CMK'sını iptal etmek için CMK'yı iptal et seçeneğine tıklayın.
12

CMK iptali başarılı olduktan sonra müşteri kuruluşu artık tabloda görünmez.

13

CMK iptali başarısız olursa bir hata görüntülenir.

Karma Veri Güvenliği dağıtımınızı test edin

Karma Veri Güvenliği Dağıtımınızı Test Etme

Çok Kiracılı Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Karma Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

1

Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve bir alan oluşturun.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra kullanıcıların oluşturduğu alanlardaki içeriğe artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

  1. Önce KMS'de güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION'da filtreleyin:

    Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmış):
    2020-07-21 17:35:34.562 (+0000) BILGI KMS [pool-14-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS’den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:19.889 (+0000) BILGI KMS [pool-14-thread-31] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:21.975 (+0000) BILGI KMS [pool-14-thread-33] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir: 
    2020-07-21 17:44:22.808 (+0000) BILGI KMS [pool-15-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Durumunu Izleme

Partner Hub’daki durum göstergesi, Çok Kiracılı Karma Veri Güvenliği konuşlandırması ile ilgili her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarı için e-posta bildirimlerine kaydolun. Hizmeti etkileyen uyarı veya yazılım yükseltmeleri olduğunda bildirim alacaksınız.
1

Partner Hub’da, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

Karma Veri Güvenliği Ayarları sayfası açılır.
3

E-posta Bildirimleri bölümünde virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönet

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planını Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlayan küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı belirleyebilir veya Amerika Birleşik Devletleri Günlük 15:00 varsayılan planını kullanabilirsiniz: Amerika/Los Angeles. Gerekirse, yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Kur'a tıklayın

4

Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Planı altında yükseltme planı için saat ve saat dilimini seçin.

Not: Saat dilimi altında, bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerekirse 24 saat ertele seçeneğine tıklayarak yükseltmeyi bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama—Eski ve yeni parolaların her ikisi de 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Zorla sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, iş ortağı tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 1.e’de Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker çekme ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker çekme ciscocitg/hds-setup-fedramp:kararlı

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışıyorsa, "Bağlantı noktası 8080'i dinleyen Express sunucusunu" görüntülersiniz.

  6. Localhost'a bağlanmak için tarayıcı kullanın.http://127.0.0.1:8080

    Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

  7. Istendiğinde, Partner Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et ’e tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızca bir HDS düğümü çalışıyorsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha fazla düğüm oluşturma ve kaydetme.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni düğümü Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Karma Veri Güvenliği düğüm arabirimini (IP adresi/kurulum, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve Oturum Aç’a tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğüm Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.
1

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Düğümü kaldır:

  1. Partner Hub’da oturum açın ve ardından Hizmetler’i seçin.

  2. Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle ’ye tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümün kaydını sil 'e tıklayın

  6. Düğümün sağ tarafındaki … öğesine tıklayarak ve Bu düğümü kaldır’ı seçerek de düğümün kaydını silebilirsiniz.

3

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil'e tıklayın.)

Sanal makineyi silmezseniz, yapılandırma ISO dosyasının bağlantısını kaldırmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Karma Veri Güvenliğine atanan her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyeleri, alma yetkisi olan kullanıcılara iade etmekten de sorumludur.

Küme bu anahtarları sağlamanın kritik işlevini yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin sürdürülmesi zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriği GERI ALINAMAZ BIR ŞEKILDE KAYIPINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamalar zorunludur:

Bir felaket, birincil veri merkezindeki HDS dağıtımının kullanılamamasına neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü izleyin.

Başlamadan önce

Düğüm Kaldırma’da belirtildiği gibi Partner Hub’daki tüm düğümlerin kaydını kaldırın. Aşağıda belirtilen yük devretme prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümleri için yapılandırılan en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin.

2

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.

3

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin.

Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

7

Düğümü Partner hub’a kaydedin. Kümedeki ilk düğümü kaydet’e bakın.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Yük devretmeden sonra, birincil veri merkezi tekrar aktif hale gelirse, bekleme veri merkezinin düğümlerinin kaydını kaldırın ve yukarıda belirtildiği gibi ISO'yu yapılandırma ve birincil veri merkezinin düğümlerini kaydetme işlemini tekrarlayın.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldır

Standart HDS yapılandırması, ISO takılı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte etmemeyi tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasının bağlantısını kaldırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenen ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonrasına yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Sunucu Aygıtında HDS düğümünü seçin.

3

Ayarları Düzenle > CD/DVD sürücüsü ’nü seçin ve Datastore ISO Dosyası seçeneğinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika alarm olmadığından emin olun.

5

Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları Görüntüleme ve Sorun Giderme

Karma Veri Güvenliği dağıtımının, kümedeki tüm düğümlere ulaşılamıyorsa veya küme zaman aşımı isteyen çok yavaş çalışıyorsa kullanılamıyor olduğu düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Şunlar için mesajlar ve alan başlıklarının şifresi çözülemiyor:

    • Alana eklenen yeni kullanıcılar (anahtarlar alınamıyor)

    • Yeni istemci kullanan bir alanda bulunan kullanıcılar (anahtarlar alınamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintisi yaşanmasını önlemek için Karma Veri Güvenliği kümenizi düzgün şekilde izlemeniz ve uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumunda bir sorun olduğunda, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Yaygın Sorunlar ve Bunları Çözme Adımları

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmeti erişim hatası.

Düğümlerin Harici bağlantı gereksinimleri bölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut hizmeti kaydının yenilenmesi.

Bulut hizmetlerine kayıt bağlantısı kesildi. Kaydın yenilenmesi devam ediyor.

Bulut hizmeti kaydı sonlandırıldı.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz etkinleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

Bunun en olası nedeni, sertifika CN’sinin yakın zamanda değişmiş olması ve artık ilk kurulum sırasında kullanılan CN’den farklı olmasıdır.

Bulut hizmetleriyle kimlik doğrulanamadı.

Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası süre sonu olup olmadığını kontrol edin.

Yerel keystore dosyası açılamadı.

Yerel anahtar deposu dosyasında bütünlük ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından düzenlendiğini onaylayın.

Ölçümler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizini mevcut değil.

Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarılı bir şekilde bağlandığını doğrulayın.

Eklenen kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı'nı kullanarak yeni eklenen kiracı kuruluşları için CMK oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşlarının CMK’larını iptal ederek kurulumu tamamlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Tüm uyarılar için Partner Hub’ı gözden geçirin ve burada bulduğunuz tüm öğeleri düzeltin. Referans için aşağıdaki resme bakın.

2

Karma Veri Güvenliği dağıtımında etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi kelimeleri filtreleyin.

3

Cisco destek ile iletişime geçin.

Diğer notlar

Karma Veri Güvenliği için Bilinen Sorunlar

  • Karma Veri Güvenliği kümenizi kapatırsanız (Partner Hub’da silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı veya anahtar deposu veritabanına erişimi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Şu anda bu sorun için bir çözüm veya çözümümüz yok ve HDS hizmetleriniz etkin kullanıcı hesaplarını işledikten sonra kapatmamanızı rica ediyoruz.

  • Bir KMS'ye mevcut bir ECDH bağlantısı olan bir istemci, bu bağlantıyı belirli bir süre (muhtemelen bir saat) korur.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yüklemek için uygun biçimde yapmak için kullanılabilen bir araçtır. Bunu yapmanın başka yolları da vardır ve biz bir yoldan diğerine desteklemez veya teşvik etmeyiz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleri'nde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sunuyoruz. Devam etmeden önce bu gereksinimleri anlayın.

  • OpenSSL'yi desteklenen bir ortama yükleyin. Yazılım ve belgeler https://www.openssl.org için bkz.

  • Özel anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

CA'nızdan sunucu sertifikasını aldığınızda, bunu hdsnode.pem olarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

OpenSSL functions

3

hdsnode-bundle.pem adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası, sunucu sertifikasını, herhangi bir ara sertifika yetkilisi sertifikasını ve kök sertifika yetkilisi sertifikalarını aşağıdaki biçimde içermelidir:

-----BEGIN CERTIFICATE------ ### Sunucu sertifikası. ### -----END CERTIFICATE-------- BEGIN CERTIFICATE----- ### Ara CA sertifikası. ### -----END CERTIFICATE------- BEGIN CERTIFICATE-------  ### Kök CA sertifikası. ### -----END CERTIFICATE---------- END CERTIFICATE------

4

.p12 dosyasını kms-private-key adlı dostane adla oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifikası ayrıntılarını kontrol edin.

  1. openssl pkcs12 - in hdsnode.p12

  2. Çıktıda listelenmesi için özel anahtarı şifrelemek üzere istemde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın hatlarını friendlyName: kms-private-key.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12 Içe Aktarma Parolasını Girin: MAC tarafından doğrulanmış Tamam Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Anahtar Öznitelikler:  PEM parolasını girin: Doğrulanıyor - PEM parolayı girin: -----ŞIFRELI ÖZEL ANAHTARI BAŞLAT-----  -----ŞIFRELI ÖZEL ANAHTAR BITIR----- Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE------

Sonraki işlemler

Karma Veri Güvenliği Için Ön Koşulları Tamamlama’ya dönün. HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma bölümünde hdsnode.p12 dosyasını ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika istemek için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut arasındaki trafik

Giden Metrikler Toplama Trafiği

Karma Veri Güvenliği düğümleri, belirli ölçümleri Webex buluta gönderir. Bunlar; yığın maks., kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem metrikleri; senkronize ve asenkron iş parçacıklarındaki metrikler; şifreleme bağlantılarının eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılara ilişkin metrikler; veri deposundaki metrikler ve şifreleme bağlantı metrikleri içerir. Düğümler, şifreli anahtar materyali bant dışı (istekten ayrı) kanal üzerinden gönderir.

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex buluttan aşağıdaki gelen trafik türlerini alır:

  • Istemcilerden gelen ve şifreleme hizmeti tarafından yönlendirilen şifreleme istekleri

  • Düğüm yazılımına yükseltilir

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu bölümler, WSS kimliği 'nin çeşitli sürümlerinin WSS 'yi yoksayması hakkında rehberlik verir : hizmetlerinin düzgün çalışması için trafik.

SQUID 4 ve 5

on_unsupported_protocol Yönergeyi squid.conf’a ekleyin:

on_unsupported_protocol tünel tümü

Squid 3.5.27

Squid. conf dosyasına eklenen aşağıdaki kurallarla karma veri güvenliğini başarıyla test ettik . Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex cıva-bağlantı ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump göz atma step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tabloda yeni özellikler veya işlevler, mevcut içerikte yapılan değişiklikler ve Çok Kiracılı Karma Veri Güvenliği için Dağıtım Kılavuzu’nda düzeltilen tüm büyük hatalar ele alınmaktadır.

Tarih

Değişiklikler yapıldı

08 Ocak 2025

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin ’e, Partner Hub’daki HDS kartında Kur ’a tıklandığında yükleme işleminin önemli bir adımı olduğunu belirten bir not eklendi.

07 Ocak 2025

Yeni ESXi 7.0 gereksinimini göstermek için Sanal Toplantı Sahibi Gereksinimleri, Karma Veri Güvenliği Dağıtım Görev Akışı ve HDS Ana Bilgisayar OVA'sını Yükle güncellendi.

13 Aralık 2024

Ilk yayınlandı.

Çok Kiracılı Karma Veri Güvenliğini Devre Dışı Bırak

Çok Kiracılı HDS Devre Dışı Bırakma Görev Akışı

Çok Kiracılı HDS’yi tamamen devre dışı bırakmak için bu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Iş Ortağı tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldır’da belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde belirtildiği gibi tüm müşterilerin CMK’larını iptal edin.

3

Düğüm Kaldır’da belirtildiği gibi tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub’dan tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil ’i seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldır’ı seçin.
5

Karma Veri Güvenliğine genel bakış sayfasındaki Ayarlar sekmesine tıklayın ve HDS Durum kartında HDS’yi Devre Dışı Bırak ’a tıklayın.

Çok Kiracılı Karma Veri Güvenliği’ni kullanmaya başlayın

Çok Kiracılı Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Karma Veri Güvenliği , kuruluşların hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifrelemeyi ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel iş ortağı aracılığıyla HDS'den yararlanmasını sağlar. Bu kurulum, iş ortağı kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin harici erişime karşı güvenli olmasını sağlar. Iş ortağı kuruluşlar, HDS örneklerini kurar ve gerektiğinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine birden fazla müşteri kuruluşunu destekleyebilir.

Iş ortağı kuruluşların dağıtım ve yönetim üzerinde kontrolü olsa da, müşteriler tarafından oluşturulan verilere ve içeriğe erişimi yoktur. Bu erişim, müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Veri merkezleri gibi Anahtar yönetim hizmeti ve güvenlik altyapısı güvenilir yerel iş ortağına ait olduğundan bu, daha küçük kuruluşların HDS’den yararlanmasına da olanak tanır.

Çok Kiracılı Karma Veri Güvenliği, veri egemenliği ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerikler, bulut hizmeti sağlayıcıları gibi harici erişime karşı korunur.
  • Yerel güvenilir iş ortakları, önceden kurulmuş ilişkileri olan müşterilerin şifreleme anahtarlarını yönetir.
  • Iş ortağı tarafından belirtildiyse yerel teknik destek seçeneği.
  • Toplantılar, Mesajlaşma ve Arama içeriğini destekler.

Bu belge, iş ortağı kuruluşlarının Çok Kiracılı Karma Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmayı amaçlamaktadır.

Çok Kiracılı Karma Veri Güvenliğinde Roller

  • Iş Ortağı tam Yönetici - Iş ortağının yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Iş ortağı yönetici - Yöneticinin sağladığı veya kullanıcıya atanmış olan müşterilerin ayarlarını yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yerine getirme yetkisi olan iş ortağı kuruluşun yöneticisidir.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Iş ortağı tam yönetici ve Tam yönetici hakları gereklidir.
  • Atanan kiracı kuruluşlarının yönetimi - Iş ortağı yöneticisi ve Tam yönetici hakları gereklidir.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

  1. Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.

  2. Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.

  3. Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.

  4. Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Çok Kiracılı Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli bir taahhüt ve şifreleme anahtarlarına sahip olmanın riskleri hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

  • Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.

  • Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst düzey Kurulum süreci

Bu belgede, Çok Kiracılı Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

  • Karma Veri Güvenliğini Ayarlama—Buna, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımının yüklenmesi, bir HDS kümesi oluşturma, kümeye kiracı kuruluşları ekleme ve Müşteri Ana Anahtarlarını (CMK'lar) yönetme dahildir. Bu, müşteri kuruluşlarınızın tüm kullanıcılarının güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmasını sağlar.

    Kurulum, etkinleştirme ve yönetim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınır.

  • Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Partner Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarıları ayarlayabilirsiniz.

  • Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Partner Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Yük Devretme

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Karma Veri Güvenliğini dağıtmak için:

  • Iş Ortağı Kuruluşlar: Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Kuruluşları: Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı

Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.

  • Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır

  • Joker karakter sertifikası değil

CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, hds.company.com.

CN, bir * (joker karakter) içermemelidir.

CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar.

Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı PKCS #12 dosyası olarak biçimlendirildi

  • Sertifikayı, özel anahtarı ve yüklemek için tüm ara sertifikaları etiketlemek için kms-private-key kolay adını kullanın.

Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)

  • VMware ESXi 7.0 (veya sonraki sürümleri) yüklendi ve çalışıyor.

    ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

posix_times

SQL Sunucusu

  • PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.

  • SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

    SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.

  • HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yön

Hedef

Karma Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Common Identity toplantı sahipleri

  • Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Common Identity toplantı sahipleri

  • hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Iş ortağı kuruluşunuzda Çok Kiracılı HDS özelliğinin etkin olduğundan emin olun ve iş ortağı tam yönetici ve tam yönetici hakları olan bir hesabın kimlik bilgilerini alın. Webex müşteri kuruluşunuzun, Cisco Webex Control Hub için Pro Pack’e etkinleştirildiğinden emin olun. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşları mevcut HDS dağıtımına sahip olmamalıdır.

2

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.

3

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.

4

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir.

  1. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

6

Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).

7

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

8

Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin.

Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.

10

Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği kümesi ayarla

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

OVA dosyasını daha sonra kullanılmak üzere yerel makinenize indirin.

2

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Karma Veri Güvenliği VM’sini ayarlayın

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

VM'yi, HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirin.

HDS’yi etkinleştirin ve Partner Hub’da kiracı kuruluşlarını yönetin.

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

Bu görevde, bir OVA dosyasını makinenize (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil) indirirsiniz. Bu dosyayı daha sonra yükleme işleminde kullanırsınız.

1

Partner Hub’da oturum açın ve ardından Hizmetler’e tıklayın.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

Partner Hub’da Kur ’a tıklamak, dağıtım işlemi için önemlidir. Bu adımı tamamlamadan yükleme işlemine devam etmeyin.

3

Kaynak ekle ’ye ve Yazılımı Yükle ve Yapılandır kartında .OVA dosyasını indir ’e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden de indirebilirsiniz. Ayarlar > Yardım > Karma Veri Güvenliği yazılımını indir’e tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizdeki bir konuma kaydedin.
4

Isteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Karma veri güvenliği dağıtım kılavuzuna göz atın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında şu seçeneklere sahipsiniz:

  • Hayır: Ilk HDS düğümünüzü oluşturuyorsanız yüklenecek bir ISO dosyanız yoktur.
  • Evet: Daha önce HDS düğümleri oluşturduysanız, göz atmada ISO dosyanızı seçin ve yükleyin.
10

X.509 sertifikanızın, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşıladığından emin olun.

  • Daha önce hiç bir sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam’a tıklayın.
  • Sertifikanız tamam ise Devam’a tıklayın.
  • Sertifikanızın süresi dolmuşsa veya sertifikayı değiştirmek istiyorsanız Önceki ISO’dan HDS sertifika zincirini ve özel anahtarı kullanmaya devam et? için Hayır’ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam’a tıklayın.
11

Anahtar veri deponuza erişmek üzere HDS’nin veritabanı adresini ve hesabını girin:

  1. Veritabanı Türü (PostgreSQL veya Microsoft SQL Server) öğesini seçin.

    Microsoft SQL Server'ı seçerseniz, Kimlik Doğrulama Türü alanına sahip olursunuz.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzü seçin:

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesabı adına ihtiyacınız vardır.

    • Windows Kimlik Doğrulaması: Kullanıcı adı alanında kullanıcıadı@DOMAIN biçiminde bir Windows hesabına ihtiyacınız vardır.

  3. Veritabanı sunucusu adresini : veya : biçiminde girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulaması kullanıyorsanız dbhost.example.org:1433 biçiminde Tam Etki Alanı Adı girmelisiniz

  4. Veritabanı Adı’nı girin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adı ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modu’nu seçin:

Mode

Açıklama

TLS'yi Tercih Etme (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca, sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam'a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısı kurabilir.)

13

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

  1. Sistem günlüğü sunucusu URL'sini girin.

    Sunucu HDS kümeniz için düğümlerden DNS ile çözümlenebilir değilse URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 , UDP bağlantı noktası 514'te Syslogd ana bilgisayarına 10.92.43.23 günlüğe kaydedildiğini gösterir.

  2. Sunucunuzu TLS şifrelemesi kullanacak şekilde ayarladıysanız, Sistem günlüğü sunucunuz SSL şifrelemesi için yapılandırılmış mı? seçeneğini işaretleyin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL’si girdiğinizden emin olun.

  3. Sistem günlüğü kaydının sonlanmasını seç açılır menüsünden ISO dosyanız için uygun ayarı seçin: Gri Günlük ve Rsyslog TCP için Seç veya Yeni Hat Kullan

    • Boş bayt -- \x00

    • Yeni satır -- \n—Gri Günlük ve Rsyslog TCP için bu seçimi seçin.

  4. Devam Et'e tıklayın.

14

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar’da değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek seçenektir:

app_datasource_connection_pool_maxBoyut: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında Devam ’a tıklayın.

Hizmet hesabı parolalarının kullanım ömrü dokuz aydır. Parolalarınızın süresi dolmak üzere olduğunda veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını Indir’e tıklayın. Dosyayı bulmak kolay bir konuma kaydedin.

17

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın.

Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

18

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmanız veya yapılandırma değişiklikleri yapmanız gerekir. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybedersiniz. Anahtarları PostgreSQL veya Microsoft SQL Server veritabanınızdan kurtarmak mümkün değil.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından sanal bir makine oluşturmak için bu prosedürü kullanın.
1

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Dosya > OVF Şablonunu Dağıt'ı seçin.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından Ileri’ye tıklayın.

4

Ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, “HDS_Node_1”), sanal makine düğümü dağıtımının bulunabileceği bir konum seçin ve ardından Ileri’ye tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından Ileri’ye tıklayın.

Bir doğrulama kontrolü çalışır. Işlem tamamlandıktan sonra şablon ayrıntıları görüntülenir.

6

Şablon ayrıntılarını doğrulayıp Ileri’ye tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU ’ya ve ardından Ileri’ye tıklayın.

8

Depolama alanını seçin sayfasında, varsayılan disk biçimi ve sanal makine depolama politikasını kabul etmek için Ileri ’ye tıklayın.

9

Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

  • Ana bilgisayar adı—FQDN'yi (ana bilgisayar adı ve etki alanı) veya düğüm için tek kelime ana bilgisayar adını girin.

    • Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

    • Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri aşmamalıdır.

  • IP Adresi— Düğümün dahili arayüzünün IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören ağ düğümüdür.
  • DNS Sunucuları—Etki alanı adlarının sayısal IP adreslerine çevrilmesiyle ilgilenen, virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
  • NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağda veya VLAN’da dağıtın, böylece bir kümedeki tüm düğümlere yönetim amaçları doğrultusunda ağınızdaki istemcilerden ulaşılabilir olur.

Tercih edilirse ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm sanal makinesine sağ tıklayın ve ardından Güç > Güç Aç'ı seçin.

Karma Veri Güvenliği yazılımı, sanal makine ana bilgisayarında konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm konteynerleri açılmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk başlatma sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görüntülenir.

Karma Veri Güvenliği VM’sini ayarlayın

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Karma Veri Güvenliği düğümü VM'nizi ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmiyorsa Enter tuşuna basın.
2

Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın:

  1. Oturum Açma: Yönetici

  2. Parola: Cisco

Sanal makinenizde ilk kez oturum açtığınızdan, yönetici parolasını değiştirmeniz gerekir.

3

HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını zaten yapılandırdıysanız bu prosedürün geri kalanını atlayın. Aksi takdirde, ana menüde Yapılandırmayı Düzenle seçeneğini belirleyin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(Isteğe bağlı) Ağ politikanızla eşleşmek için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin.

Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, dosya yalnızca Karma Veri Güvenliği sanal makinelerinin ve değişiklik yapması gerekebilecek yöneticilerin erişim için "bilinmesi gereken" temelinde gösterilmelidir. Yalnızca bu yöneticilerin veri deposuna erişebildiğinden emin olun.

1

Bilgisayarınızdan ISO dosyasını yükleyin:

  1. VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinden Depolama’ya tıklayın.

  3. Veri Depoları listesinde, sanal makinelerinizin veri mağazasına sağ tıklayın ve Veri Mağazasına Gözat'a tıklayın.

  4. Dosya Yükle simgesine ve ardından Dosya Yükle’ye tıklayın.

  5. ISO dosyasını bilgisayarınıza indirdiğiniz konuma gidin ve ’a tıklayın.

  6. Yükleme/indirme işlemi uyarısını kabul etmek için Evet ’e tıklayın ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Kısıtlanmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Sürücü 1'e tıklayın, veri deposu ISO dosyasından bağlanma seçeneğini seçin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Açıldığında bağlan’ı işaretleyin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasının bağlantısını kaldırabilirsiniz. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir Web tarayıcısına HDS düğüm kurulum URL 'sini https://[HDS düğüm IP veya FQDN]/kurulum girin , düğüm için kurduğunuz yönetici kimlik bilgilerini girin ve ardından oturum aç 'a tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok: Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlenmeyen Proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy: Açık proxy ile istemciye hangi proxy sunucusunu kullanacağını (HDS düğümleri) söylersiniz ve bu seçenek birkaç kimlik doğrulama türünü destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve Engellenen Harici DNS Çözünürlük Modunu Kapat bölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev, Karma Veri Güvenliği sanal makinesini ayarla’da oluşturduğunuz genel düğümü alır, düğümü Webex buluta kaydeder ve bir Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

4

Açılan sayfada Kaynak ekle’ye tıklayın.

5

Düğüm ekle kartının ilk alanında, Karma Veri Güvenliği düğümünüzü atamak istediğiniz kümenin adını girin.

Kümeyi, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

Ikinci alanda, düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle ’ye tıklayın.

Bu IP adresi veya FQDN, Karma Veri Güvenliği VM’sini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex’e kaydedebileceğinizi gösteren bir mesaj görünür.
7

Düğüme Git’e tıklayın.

Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

8

Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.
9

Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesinde görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve ardından düğümü kaydetmeniz yeterlidir. En az 3 düğümün olmasını öneririz.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

OVA'dan HDS Ana Bilgisayar OVA'sını Yükleme adımlarını tekrarlayarak yeni bir sanal makine oluşturun.

2

Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinenin ilk yapılandırmasını ayarlayın.

3

Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Montaj bölümündeki adımları tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği şekilde tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com üzerinde, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

  2. Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Tümünü görüntüle’ye tıklayın.

    Karma Veri Güvenliği Kaynakları sayfası açılır.

  3. Yeni oluşturulan küme, Kaynaklar sayfasında görünecektir.

  4. Kümeye atanan düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle ’ye tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekle’ye tıklayın.

    Düğümünüzü Webex buluta kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

  7. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

    Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.

  8. Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

    Eklenen düğüm açılır mesajı da Partner Hub'da ekranın alt kısmında görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Karma Veri Güvenliği’nde Kiracı kuruluşlarını yönet

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirme

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Şirket Içi şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS’den yararlanmaya başlamasını sağlar.

Başlamadan önce

Çok Kiracılı HDS kümenizi gerekli sayıda düğüm ile kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

4

HDS Durumu kartında HDS’yi Etkinleştir ’e tıklayın.

Partner Hub’a kiracı kuruluşları ekle

Bu görevde, müşteri kuruluşlarını Karma Veri Güvenliği Kümenize atayabilirsiniz.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanan müşteriler sekmesine gidin.

6

Müşteri ekle’ye tıklayın.

7

Açılır menüden eklemek istediğiniz müşteriyi seçin.

8

Ekle’ye tıkladığınızda müşteri kümeye eklenir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ’ye tıklayın.

Sonraki işlemler

Kurulum işlemini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma bölümünde açıklanan şekilde HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma

Başlamadan önce

Partner Hub’da kiracı kuruluşları ekle bölümünde ayrıntılı olarak açıklandığı şekilde müşterileri uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlantı kurulduğundan emin olun.
11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK oluştur veya CMK oluştur - Yeni eklenen tüm kuruluşlar için CMK oluşturmak için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve yeni eklenen tüm kuruluşlar için CMK oluşturmak için CMK oluştur ’a tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleme durumunun yanındaki … öğesine tıklayın ve CMK oluştur öğesine tıklayarak o kuruluş için CMK oluşturun.
12

CMK oluşturma başarılı olduktan sonra, tablodaki durum CMK yönetimi beklemede iken CMK yönetimine geçecektir.

13

CMK oluşturma başarısız olursa bir hata görüntülenir.

Kiracı kuruluşlarını kaldır

Başlamadan önce

Kaldırıldıktan sonra, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS’den yararlanamayacak ve mevcut tüm alanları kaybedecektir. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanan Müşteriler’e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğesine ve Kümeden kaldır seçeneğine tıklayın.

Sonraki işlemler

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde açıklandığı şekilde müşteri kuruluşlarının CMK’larını iptal ederek kaldırma işlemini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Kiracı kuruluşlarını kaldır bölümünde açıklanan şekilde müşterileri uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK’yı iptal et veya CMK’yı iptal et - Kaldırılan tüm kuruluşların CMK’larını iptal etmek için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve kaldırılan tüm kuruluşların CMK’larını iptal etmek için CMK’ları iptal et ’e tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilmesi için CMK durumunun yanındaki ... seçeneğine tıklayın ve belirli bir kuruluşun CMK'sını iptal etmek için CMK'yı iptal et seçeneğine tıklayın.
12

CMK iptali başarılı olduktan sonra müşteri kuruluşu artık tabloda görünmez.

13

CMK iptali başarısız olursa bir hata görüntülenir.

Karma Veri Güvenliği dağıtımınızı test edin

Karma Veri Güvenliği Dağıtımınızı Test Etme

Çok Kiracılı Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Karma Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

1

Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve bir alan oluşturun.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra kullanıcıların oluşturduğu alanlardaki içeriğe artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

  1. Önce KMS'de güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION'da filtreleyin:

    Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmış):
    2020-07-21 17:35:34.562 (+0000) BILGI KMS [pool-14-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS’den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:19.889 (+0000) BILGI KMS [pool-14-thread-31] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:21.975 (+0000) BILGI KMS [pool-14-thread-33] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir: 
    2020-07-21 17:44:22.808 (+0000) BILGI KMS [pool-15-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Durumunu Izleme

Partner Hub’daki durum göstergesi, Çok Kiracılı Karma Veri Güvenliği konuşlandırması ile ilgili her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarı için e-posta bildirimlerine kaydolun. Hizmeti etkileyen uyarı veya yazılım yükseltmeleri olduğunda bildirim alacaksınız.
1

Partner Hub’da, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

Karma Veri Güvenliği Ayarları sayfası açılır.
3

E-posta Bildirimleri bölümünde virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönet

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planını Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlayan küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı belirleyebilir veya Amerika Birleşik Devletleri Günlük 15:00 varsayılan planını kullanabilirsiniz: Amerika/Los Angeles. Gerekirse, yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Kur'a tıklayın

4

Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Planı altında yükseltme planı için saat ve saat dilimini seçin.

Not: Saat dilimi altında, bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerekirse 24 saat ertele seçeneğine tıklayarak yükseltmeyi bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama—Eski ve yeni parolaların her ikisi de 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Zorla sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, iş ortağı tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 1.e’de Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker çekme ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker çekme ciscocitg/hds-setup-fedramp:kararlı

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışıyorsa, "Bağlantı noktası 8080'i dinleyen Express sunucusunu" görüntülersiniz.

  6. Localhost'a bağlanmak için tarayıcı kullanın.http://127.0.0.1:8080

    Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

  7. Istendiğinde, Partner Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et ’e tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızca bir HDS düğümü çalışıyorsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha fazla düğüm oluşturma ve kaydetme.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni düğümü Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Karma Veri Güvenliği düğüm arabirimini (IP adresi/kurulum, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve Oturum Aç’a tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğüm Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.
1

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Düğümü kaldır:

  1. Partner Hub’da oturum açın ve ardından Hizmetler’i seçin.

  2. Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle ’ye tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümün kaydını sil 'e tıklayın

  6. Düğümün sağ tarafındaki … öğesine tıklayarak ve Bu düğümü kaldır’ı seçerek de düğümün kaydını silebilirsiniz.

3

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil'e tıklayın.)

Sanal makineyi silmezseniz, yapılandırma ISO dosyasının bağlantısını kaldırmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Karma Veri Güvenliğine atanan her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyeleri, alma yetkisi olan kullanıcılara iade etmekten de sorumludur.

Küme bu anahtarları sağlamanın kritik işlevini yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin sürdürülmesi zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriği GERI ALINAMAZ BIR ŞEKILDE KAYIPINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamalar zorunludur:

Bir felaket, birincil veri merkezindeki HDS dağıtımının kullanılamamasına neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü izleyin.

Başlamadan önce

Düğüm Kaldırma’da belirtildiği gibi Partner Hub’daki tüm düğümlerin kaydını kaldırın. Aşağıda belirtilen yük devretme prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümleri için yapılandırılan en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin.

2

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.

3

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin.

Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

7

Düğümü Partner hub’a kaydedin. Kümedeki ilk düğümü kaydet’e bakın.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Yük devretmeden sonra, birincil veri merkezi tekrar aktif hale gelirse, bekleme veri merkezinin düğümlerinin kaydını kaldırın ve yukarıda belirtildiği gibi ISO'yu yapılandırma ve birincil veri merkezinin düğümlerini kaydetme işlemini tekrarlayın.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldır

Standart HDS yapılandırması, ISO takılı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte etmemeyi tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasının bağlantısını kaldırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenen ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonrasına yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Sunucu Aygıtında HDS düğümünü seçin.

3

Ayarları Düzenle > CD/DVD sürücüsü ’nü seçin ve Datastore ISO Dosyası seçeneğinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika alarm olmadığından emin olun.

5

Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları Görüntüleme ve Sorun Giderme

Karma Veri Güvenliği dağıtımının, kümedeki tüm düğümlere ulaşılamıyorsa veya küme zaman aşımı isteyen çok yavaş çalışıyorsa kullanılamıyor olduğu düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Şunlar için mesajlar ve alan başlıklarının şifresi çözülemiyor:

    • Alana eklenen yeni kullanıcılar (anahtarlar alınamıyor)

    • Yeni istemci kullanan bir alanda bulunan kullanıcılar (anahtarlar alınamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintisi yaşanmasını önlemek için Karma Veri Güvenliği kümenizi düzgün şekilde izlemeniz ve uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumunda bir sorun olduğunda, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Yaygın Sorunlar ve Bunları Çözme Adımları

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmeti erişim hatası.

Düğümlerin Harici bağlantı gereksinimleri bölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut hizmeti kaydının yenilenmesi.

Bulut hizmetlerine kayıt bağlantısı kesildi. Kaydın yenilenmesi devam ediyor.

Bulut hizmeti kaydı sonlandırıldı.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz etkinleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

Bunun en olası nedeni, sertifika CN’sinin yakın zamanda değişmiş olması ve artık ilk kurulum sırasında kullanılan CN’den farklı olmasıdır.

Bulut hizmetleriyle kimlik doğrulanamadı.

Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası süre sonu olup olmadığını kontrol edin.

Yerel keystore dosyası açılamadı.

Yerel anahtar deposu dosyasında bütünlük ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından düzenlendiğini onaylayın.

Ölçümler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizini mevcut değil.

Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarılı bir şekilde bağlandığını doğrulayın.

Eklenen kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı'nı kullanarak yeni eklenen kiracı kuruluşları için CMK oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşlarının CMK’larını iptal ederek kurulumu tamamlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Tüm uyarılar için Partner Hub’ı gözden geçirin ve burada bulduğunuz tüm öğeleri düzeltin. Referans için aşağıdaki resme bakın.

2

Karma Veri Güvenliği dağıtımında etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi kelimeleri filtreleyin.

3

Cisco destek ile iletişime geçin.

Diğer notlar

Karma Veri Güvenliği için Bilinen Sorunlar

  • Karma Veri Güvenliği kümenizi kapatırsanız (Partner Hub’da silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı veya anahtar deposu veritabanına erişimi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Şu anda bu sorun için bir çözüm veya çözümümüz yok ve HDS hizmetleriniz etkin kullanıcı hesaplarını işledikten sonra kapatmamanızı rica ediyoruz.

  • Bir KMS'ye mevcut bir ECDH bağlantısı olan bir istemci, bu bağlantıyı belirli bir süre (muhtemelen bir saat) korur.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yüklemek için uygun biçimde yapmak için kullanılabilen bir araçtır. Bunu yapmanın başka yolları da vardır ve biz bir yoldan diğerine desteklemez veya teşvik etmeyiz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleri'nde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sunuyoruz. Devam etmeden önce bu gereksinimleri anlayın.

  • OpenSSL'yi desteklenen bir ortama yükleyin. Yazılım ve belgeler https://www.openssl.org için bkz.

  • Özel anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

CA'nızdan sunucu sertifikasını aldığınızda, bunu hdsnode.pem olarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

OpenSSL functions

3

hdsnode-bundle.pem adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası, sunucu sertifikasını, herhangi bir ara sertifika yetkilisi sertifikasını ve kök sertifika yetkilisi sertifikalarını aşağıdaki biçimde içermelidir:

-----BEGIN CERTIFICATE------ ### Sunucu sertifikası. ### -----END CERTIFICATE-------- BEGIN CERTIFICATE----- ### Ara CA sertifikası. ### -----END CERTIFICATE------- BEGIN CERTIFICATE-------  ### Kök CA sertifikası. ### -----END CERTIFICATE---------- END CERTIFICATE------

4

.p12 dosyasını kms-private-key adlı dostane adla oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifikası ayrıntılarını kontrol edin.

  1. openssl pkcs12 - in hdsnode.p12

  2. Çıktıda listelenmesi için özel anahtarı şifrelemek üzere istemde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın hatlarını friendlyName: kms-private-key.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12 Içe Aktarma Parolasını Girin: MAC tarafından doğrulanmış Tamam Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Anahtar Öznitelikler:  PEM parolasını girin: Doğrulanıyor - PEM parolayı girin: -----ŞIFRELI ÖZEL ANAHTARI BAŞLAT-----  -----ŞIFRELI ÖZEL ANAHTAR BITIR----- Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE------

Sonraki işlemler

Karma Veri Güvenliği Için Ön Koşulları Tamamlama’ya dönün. HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma bölümünde hdsnode.p12 dosyasını ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika istemek için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut arasındaki trafik

Giden Metrikler Toplama Trafiği

Karma Veri Güvenliği düğümleri, belirli ölçümleri Webex buluta gönderir. Bunlar; yığın maks., kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem metrikleri; senkronize ve asenkron iş parçacıklarındaki metrikler; şifreleme bağlantılarının eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılara ilişkin metrikler; veri deposundaki metrikler ve şifreleme bağlantı metrikleri içerir. Düğümler, şifreli anahtar materyali bant dışı (istekten ayrı) kanal üzerinden gönderir.

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex buluttan aşağıdaki gelen trafik türlerini alır:

  • Istemcilerden gelen ve şifreleme hizmeti tarafından yönlendirilen şifreleme istekleri

  • Düğüm yazılımına yükseltilir

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu bölümler, WSS kimliği 'nin çeşitli sürümlerinin WSS 'yi yoksayması hakkında rehberlik verir : hizmetlerinin düzgün çalışması için trafik.

SQUID 4 ve 5

on_unsupported_protocol Yönergeyi squid.conf’a ekleyin:

on_unsupported_protocol tünel tümü

Squid 3.5.27

Squid. conf dosyasına eklenen aşağıdaki kurallarla karma veri güvenliğini başarıyla test ettik . Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex cıva-bağlantı ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump göz atma step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tabloda yeni özellikler veya işlevler, mevcut içerikte yapılan değişiklikler ve Çok Kiracılı Karma Veri Güvenliği için Dağıtım Kılavuzu’nda düzeltilen tüm büyük hatalar ele alınmaktadır.

Tarih

Değişiklikler yapıldı

08 Ocak 2025

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin ’e, Partner Hub’daki HDS kartında Kur ’a tıklandığında yükleme işleminin önemli bir adımı olduğunu belirten bir not eklendi.

07 Ocak 2025

Yeni ESXi 7.0 gereksinimini göstermek için Sanal Toplantı Sahibi Gereksinimleri, Karma Veri Güvenliği Dağıtım Görev Akışı ve HDS Ana Bilgisayar OVA'sını Yükle güncellendi.

13 Aralık 2024

Ilk yayınlandı.

Çok Kiracılı Karma Veri Güvenliğini Devre Dışı Bırak

Çok Kiracılı HDS Devre Dışı Bırakma Görev Akışı

Çok Kiracılı HDS’yi tamamen devre dışı bırakmak için bu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Iş Ortağı tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldır’da belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde belirtildiği gibi tüm müşterilerin CMK’larını iptal edin.

3

Düğüm Kaldır’da belirtildiği gibi tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub’dan tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil ’i seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldır’ı seçin.
5

Karma Veri Güvenliğine genel bakış sayfasındaki Ayarlar sekmesine tıklayın ve HDS Durum kartında HDS’yi Devre Dışı Bırak ’a tıklayın.

Çok Kiracılı Karma Veri Güvenliği’ni kullanmaya başlayın

Çok Kiracılı Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Karma Veri Güvenliği , kuruluşların hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifrelemeyi ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel iş ortağı aracılığıyla HDS'den yararlanmasını sağlar. Bu kurulum, iş ortağı kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin harici erişime karşı güvenli olmasını sağlar. Iş ortağı kuruluşlar, HDS örneklerini kurar ve gerektiğinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine birden fazla müşteri kuruluşunu destekleyebilir.

Iş ortağı kuruluşların dağıtım ve yönetim üzerinde kontrolü olsa da, müşteriler tarafından oluşturulan verilere ve içeriğe erişimi yoktur. Bu erişim, müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Veri merkezleri gibi Anahtar yönetim hizmeti ve güvenlik altyapısı güvenilir yerel iş ortağına ait olduğundan bu, daha küçük kuruluşların HDS’den yararlanmasına da olanak tanır.

Çok Kiracılı Karma Veri Güvenliği, veri egemenliği ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerikler, bulut hizmeti sağlayıcıları gibi harici erişime karşı korunur.
  • Yerel güvenilir iş ortakları, önceden kurulmuş ilişkileri olan müşterilerin şifreleme anahtarlarını yönetir.
  • Iş ortağı tarafından belirtildiyse yerel teknik destek seçeneği.
  • Toplantılar, Mesajlaşma ve Arama içeriğini destekler.

Bu belge, iş ortağı kuruluşlarının Çok Kiracılı Karma Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmayı amaçlamaktadır.

Çok Kiracılı Karma Veri Güvenliğinde Roller

  • Iş Ortağı tam Yönetici - Iş ortağının yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Iş ortağı yönetici - Yöneticinin sağladığı veya kullanıcıya atanmış olan müşterilerin ayarlarını yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yerine getirme yetkisi olan iş ortağı kuruluşun yöneticisidir.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Iş ortağı tam yönetici ve Tam yönetici hakları gereklidir.
  • Atanan kiracı kuruluşlarının yönetimi - Iş ortağı yöneticisi ve Tam yönetici hakları gereklidir.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

  1. Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.

  2. Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.

  3. Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.

  4. Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Çok Kiracılı Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli bir taahhüt ve şifreleme anahtarlarına sahip olmanın riskleri hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

  • Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.

  • Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst düzey Kurulum süreci

Bu belgede, Çok Kiracılı Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

  • Karma Veri Güvenliğini Ayarlama—Buna, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımının yüklenmesi, bir HDS kümesi oluşturma, kümeye kiracı kuruluşları ekleme ve Müşteri Ana Anahtarlarını (CMK'lar) yönetme dahildir. Bu, müşteri kuruluşlarınızın tüm kullanıcılarının güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmasını sağlar.

    Kurulum, etkinleştirme ve yönetim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınır.

  • Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Partner Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarıları ayarlayabilirsiniz.

  • Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Partner Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Yük Devretme

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Karma Veri Güvenliğini dağıtmak için:

  • Iş Ortağı Kuruluşlar: Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Kuruluşları: Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı

Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.

  • Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır

  • Joker karakter sertifikası değil

CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, hds.company.com.

CN, bir * (joker karakter) içermemelidir.

CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar.

Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı PKCS #12 dosyası olarak biçimlendirildi

  • Sertifikayı, özel anahtarı ve yüklemek için tüm ara sertifikaları etiketlemek için kms-private-key kolay adını kullanın.

Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)

  • VMware ESXi 7.0 (veya sonraki sürümleri) yüklendi ve çalışıyor.

    ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

posix_times

SQL Sunucusu

  • PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.

  • SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

    SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.

  • HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yön

Hedef

Karma Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Common Identity toplantı sahipleri

  • Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Common Identity toplantı sahipleri

  • hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Iş ortağı kuruluşunuzda Çok Kiracılı HDS özelliğinin etkin olduğundan emin olun ve iş ortağı tam yönetici ve tam yönetici hakları olan bir hesabın kimlik bilgilerini alın. Webex müşteri kuruluşunuzun, Cisco Webex Control Hub için Pro Pack’e etkinleştirildiğinden emin olun. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşları mevcut HDS dağıtımına sahip olmamalıdır.

2

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.

3

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.

4

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir.

  1. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

6

Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).

7

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

8

Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin.

Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.

10

Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği kümesi ayarla

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

OVA dosyasını daha sonra kullanılmak üzere yerel makinenize indirin.

2

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Karma Veri Güvenliği VM’sini ayarlayın

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

VM'yi, HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirin.

HDS’yi etkinleştirin ve Partner Hub’da kiracı kuruluşlarını yönetin.

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

Bu görevde, bir OVA dosyasını makinenize (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil) indirirsiniz. Bu dosyayı daha sonra yükleme işleminde kullanırsınız.

1

Partner Hub’da oturum açın ve ardından Hizmetler’e tıklayın.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

Partner Hub’da Kur ’a tıklamak, dağıtım işlemi için önemlidir. Bu adımı tamamlamadan yükleme işlemine devam etmeyin.

3

Kaynak ekle ’ye ve Yazılımı Yükle ve Yapılandır kartında .OVA dosyasını indir ’e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden de indirebilirsiniz. Ayarlar > Yardım > Karma Veri Güvenliği yazılımını indir’e tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizdeki bir konuma kaydedin.
4

Isteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Karma veri güvenliği dağıtım kılavuzuna göz atın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında şu seçeneklere sahipsiniz:

  • Hayır: Ilk HDS düğümünüzü oluşturuyorsanız yüklenecek bir ISO dosyanız yoktur.
  • Evet: Daha önce HDS düğümleri oluşturduysanız, göz atmada ISO dosyanızı seçin ve yükleyin.
10

X.509 sertifikanızın, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşıladığından emin olun.

  • Daha önce hiç bir sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam’a tıklayın.
  • Sertifikanız tamam ise Devam’a tıklayın.
  • Sertifikanızın süresi dolmuşsa veya sertifikayı değiştirmek istiyorsanız Önceki ISO’dan HDS sertifika zincirini ve özel anahtarı kullanmaya devam et? için Hayır’ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam’a tıklayın.
11

Anahtar veri deponuza erişmek üzere HDS’nin veritabanı adresini ve hesabını girin:

  1. Veritabanı Türü (PostgreSQL veya Microsoft SQL Server) öğesini seçin.

    Microsoft SQL Server'ı seçerseniz, Kimlik Doğrulama Türü alanına sahip olursunuz.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzü seçin:

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesabı adına ihtiyacınız vardır.

    • Windows Kimlik Doğrulaması: Kullanıcı adı alanında kullanıcıadı@DOMAIN biçiminde bir Windows hesabına ihtiyacınız vardır.

  3. Veritabanı sunucusu adresini : veya : biçiminde girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulaması kullanıyorsanız dbhost.example.org:1433 biçiminde Tam Etki Alanı Adı girmelisiniz

  4. Veritabanı Adı’nı girin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adı ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modu’nu seçin:

Mode

Açıklama

TLS'yi Tercih Etme (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca, sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam'a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısı kurabilir.)

13

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

  1. Sistem günlüğü sunucusu URL'sini girin.

    Sunucu HDS kümeniz için düğümlerden DNS ile çözümlenebilir değilse URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 , UDP bağlantı noktası 514'te Syslogd ana bilgisayarına 10.92.43.23 günlüğe kaydedildiğini gösterir.

  2. Sunucunuzu TLS şifrelemesi kullanacak şekilde ayarladıysanız, Sistem günlüğü sunucunuz SSL şifrelemesi için yapılandırılmış mı? seçeneğini işaretleyin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL’si girdiğinizden emin olun.

  3. Sistem günlüğü kaydının sonlanmasını seç açılır menüsünden ISO dosyanız için uygun ayarı seçin: Gri Günlük ve Rsyslog TCP için Seç veya Yeni Hat Kullan

    • Boş bayt -- \x00

    • Yeni satır -- \n—Gri Günlük ve Rsyslog TCP için bu seçimi seçin.

  4. Devam Et'e tıklayın.

14

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar’da değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek seçenektir:

app_datasource_connection_pool_maxBoyut: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında Devam ’a tıklayın.

Hizmet hesabı parolalarının kullanım ömrü dokuz aydır. Parolalarınızın süresi dolmak üzere olduğunda veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını Indir’e tıklayın. Dosyayı bulmak kolay bir konuma kaydedin.

17

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın.

Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

18

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmanız veya yapılandırma değişiklikleri yapmanız gerekir. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybedersiniz. Anahtarları PostgreSQL veya Microsoft SQL Server veritabanınızdan kurtarmak mümkün değil.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından sanal bir makine oluşturmak için bu prosedürü kullanın.
1

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Dosya > OVF Şablonunu Dağıt'ı seçin.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından Ileri’ye tıklayın.

4

Ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, “HDS_Node_1”), sanal makine düğümü dağıtımının bulunabileceği bir konum seçin ve ardından Ileri’ye tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından Ileri’ye tıklayın.

Bir doğrulama kontrolü çalışır. Işlem tamamlandıktan sonra şablon ayrıntıları görüntülenir.

6

Şablon ayrıntılarını doğrulayıp Ileri’ye tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU ’ya ve ardından Ileri’ye tıklayın.

8

Depolama alanını seçin sayfasında, varsayılan disk biçimi ve sanal makine depolama politikasını kabul etmek için Ileri ’ye tıklayın.

9

Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

  • Ana bilgisayar adı—FQDN'yi (ana bilgisayar adı ve etki alanı) veya düğüm için tek kelime ana bilgisayar adını girin.

    • Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

    • Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri aşmamalıdır.

  • IP Adresi— Düğümün dahili arayüzünün IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören ağ düğümüdür.
  • DNS Sunucuları—Etki alanı adlarının sayısal IP adreslerine çevrilmesiyle ilgilenen, virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
  • NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağda veya VLAN’da dağıtın, böylece bir kümedeki tüm düğümlere yönetim amaçları doğrultusunda ağınızdaki istemcilerden ulaşılabilir olur.

Tercih edilirse ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm sanal makinesine sağ tıklayın ve ardından Güç > Güç Aç'ı seçin.

Karma Veri Güvenliği yazılımı, sanal makine ana bilgisayarında konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm konteynerleri açılmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk başlatma sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görüntülenir.

Karma Veri Güvenliği VM’sini ayarlayın

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Karma Veri Güvenliği düğümü VM'nizi ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmiyorsa Enter tuşuna basın.
2

Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın:

  1. Oturum Açma: Yönetici

  2. Parola: Cisco

Sanal makinenizde ilk kez oturum açtığınızdan, yönetici parolasını değiştirmeniz gerekir.

3

HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını zaten yapılandırdıysanız bu prosedürün geri kalanını atlayın. Aksi takdirde, ana menüde Yapılandırmayı Düzenle seçeneğini belirleyin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(Isteğe bağlı) Ağ politikanızla eşleşmek için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin.

Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, dosya yalnızca Karma Veri Güvenliği sanal makinelerinin ve değişiklik yapması gerekebilecek yöneticilerin erişim için "bilinmesi gereken" temelinde gösterilmelidir. Yalnızca bu yöneticilerin veri deposuna erişebildiğinden emin olun.

1

Bilgisayarınızdan ISO dosyasını yükleyin:

  1. VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinden Depolama’ya tıklayın.

  3. Veri Depoları listesinde, sanal makinelerinizin veri mağazasına sağ tıklayın ve Veri Mağazasına Gözat'a tıklayın.

  4. Dosya Yükle simgesine ve ardından Dosya Yükle’ye tıklayın.

  5. ISO dosyasını bilgisayarınıza indirdiğiniz konuma gidin ve ’a tıklayın.

  6. Yükleme/indirme işlemi uyarısını kabul etmek için Evet ’e tıklayın ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Kısıtlanmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Sürücü 1'e tıklayın, veri deposu ISO dosyasından bağlanma seçeneğini seçin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Açıldığında bağlan’ı işaretleyin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasının bağlantısını kaldırabilirsiniz. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir Web tarayıcısına HDS düğüm kurulum URL 'sini https://[HDS düğüm IP veya FQDN]/kurulum girin , düğüm için kurduğunuz yönetici kimlik bilgilerini girin ve ardından oturum aç 'a tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok: Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlenmeyen Proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy: Açık proxy ile istemciye hangi proxy sunucusunu kullanacağını (HDS düğümleri) söylersiniz ve bu seçenek birkaç kimlik doğrulama türünü destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve Engellenen Harici DNS Çözünürlük Modunu Kapat bölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev, Karma Veri Güvenliği sanal makinesini ayarla’da oluşturduğunuz genel düğümü alır, düğümü Webex buluta kaydeder ve bir Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

4

Açılan sayfada Kaynak ekle’ye tıklayın.

5

Düğüm ekle kartının ilk alanında, Karma Veri Güvenliği düğümünüzü atamak istediğiniz kümenin adını girin.

Kümeyi, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

Ikinci alanda, düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle ’ye tıklayın.

Bu IP adresi veya FQDN, Karma Veri Güvenliği VM’sini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex’e kaydedebileceğinizi gösteren bir mesaj görünür.
7

Düğüme Git’e tıklayın.

Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

8

Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.
9

Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesinde görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve ardından düğümü kaydetmeniz yeterlidir. En az 3 düğümün olmasını öneririz.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

OVA'dan HDS Ana Bilgisayar OVA'sını Yükleme adımlarını tekrarlayarak yeni bir sanal makine oluşturun.

2

Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinenin ilk yapılandırmasını ayarlayın.

3

Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Montaj bölümündeki adımları tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği şekilde tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com üzerinde, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

  2. Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Tümünü görüntüle’ye tıklayın.

    Karma Veri Güvenliği Kaynakları sayfası açılır.

  3. Yeni oluşturulan küme, Kaynaklar sayfasında görünecektir.

  4. Kümeye atanan düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle ’ye tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekle’ye tıklayın.

    Düğümünüzü Webex buluta kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

  7. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

    Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.

  8. Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

    Eklenen düğüm açılır mesajı da Partner Hub'da ekranın alt kısmında görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Karma Veri Güvenliği’nde Kiracı kuruluşlarını yönet

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirme

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Şirket Içi şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS’den yararlanmaya başlamasını sağlar.

Başlamadan önce

Çok Kiracılı HDS kümenizi gerekli sayıda düğüm ile kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

4

HDS Durumu kartında HDS’yi Etkinleştir ’e tıklayın.

Partner Hub’a kiracı kuruluşları ekle

Bu görevde, müşteri kuruluşlarını Karma Veri Güvenliği Kümenize atayabilirsiniz.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanan müşteriler sekmesine gidin.

6

Müşteri ekle’ye tıklayın.

7

Açılır menüden eklemek istediğiniz müşteriyi seçin.

8

Ekle’ye tıkladığınızda müşteri kümeye eklenir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ’ye tıklayın.

Sonraki işlemler

Kurulum işlemini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma bölümünde açıklanan şekilde HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma

Başlamadan önce

Partner Hub’da kiracı kuruluşları ekle bölümünde ayrıntılı olarak açıklandığı şekilde müşterileri uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlantı kurulduğundan emin olun.
11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK oluştur veya CMK oluştur - Yeni eklenen tüm kuruluşlar için CMK oluşturmak için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve yeni eklenen tüm kuruluşlar için CMK oluşturmak için CMK oluştur ’a tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleme durumunun yanındaki … öğesine tıklayın ve CMK oluştur öğesine tıklayarak o kuruluş için CMK oluşturun.
12

CMK oluşturma başarılı olduktan sonra, tablodaki durum CMK yönetimi beklemede iken CMK yönetimine geçecektir.

13

CMK oluşturma başarısız olursa bir hata görüntülenir.

Kiracı kuruluşlarını kaldır

Başlamadan önce

Kaldırıldıktan sonra, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS’den yararlanamayacak ve mevcut tüm alanları kaybedecektir. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanan Müşteriler’e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğesine ve Kümeden kaldır seçeneğine tıklayın.

Sonraki işlemler

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde açıklandığı şekilde müşteri kuruluşlarının CMK’larını iptal ederek kaldırma işlemini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Kiracı kuruluşlarını kaldır bölümünde açıklanan şekilde müşterileri uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK’yı iptal et veya CMK’yı iptal et - Kaldırılan tüm kuruluşların CMK’larını iptal etmek için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve kaldırılan tüm kuruluşların CMK’larını iptal etmek için CMK’ları iptal et ’e tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilmesi için CMK durumunun yanındaki ... seçeneğine tıklayın ve belirli bir kuruluşun CMK'sını iptal etmek için CMK'yı iptal et seçeneğine tıklayın.
12

CMK iptali başarılı olduktan sonra müşteri kuruluşu artık tabloda görünmez.

13

CMK iptali başarısız olursa bir hata görüntülenir.

Karma Veri Güvenliği dağıtımınızı test edin

Karma Veri Güvenliği Dağıtımınızı Test Etme

Çok Kiracılı Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Karma Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

1

Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve bir alan oluşturun.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra kullanıcıların oluşturduğu alanlardaki içeriğe artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

  1. Önce KMS'de güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION'da filtreleyin:

    Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmış):
    2020-07-21 17:35:34.562 (+0000) BILGI KMS [pool-14-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS’den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:19.889 (+0000) BILGI KMS [pool-14-thread-31] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:21.975 (+0000) BILGI KMS [pool-14-thread-33] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir: 
    2020-07-21 17:44:22.808 (+0000) BILGI KMS [pool-15-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Durumunu Izleme

Partner Hub’daki durum göstergesi, Çok Kiracılı Karma Veri Güvenliği konuşlandırması ile ilgili her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarı için e-posta bildirimlerine kaydolun. Hizmeti etkileyen uyarı veya yazılım yükseltmeleri olduğunda bildirim alacaksınız.
1

Partner Hub’da, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

Karma Veri Güvenliği Ayarları sayfası açılır.
3

E-posta Bildirimleri bölümünde virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönet

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planını Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlayan küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı belirleyebilir veya Amerika Birleşik Devletleri Günlük 15:00 varsayılan planını kullanabilirsiniz: Amerika/Los Angeles. Gerekirse, yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Kur'a tıklayın

4

Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Planı altında yükseltme planı için saat ve saat dilimini seçin.

Not: Saat dilimi altında, bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerekirse 24 saat ertele seçeneğine tıklayarak yükseltmeyi bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama—Eski ve yeni parolaların her ikisi de 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Zorla sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, iş ortağı tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 1.e’de Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker çekme ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker çekme ciscocitg/hds-setup-fedramp:kararlı

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışıyorsa, "Bağlantı noktası 8080'i dinleyen Express sunucusunu" görüntülersiniz.

  6. Localhost'a bağlanmak için tarayıcı kullanın.http://127.0.0.1:8080

    Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

  7. Istendiğinde, Partner Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et ’e tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızca bir HDS düğümü çalışıyorsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha fazla düğüm oluşturma ve kaydetme.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni düğümü Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Karma Veri Güvenliği düğüm arabirimini (IP adresi/kurulum, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve Oturum Aç’a tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğüm Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.
1

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Düğümü kaldır:

  1. Partner Hub’da oturum açın ve ardından Hizmetler’i seçin.

  2. Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle ’ye tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümün kaydını sil 'e tıklayın

  6. Düğümün sağ tarafındaki … öğesine tıklayarak ve Bu düğümü kaldır’ı seçerek de düğümün kaydını silebilirsiniz.

3

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil'e tıklayın.)

Sanal makineyi silmezseniz, yapılandırma ISO dosyasının bağlantısını kaldırmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Karma Veri Güvenliğine atanan her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyeleri, alma yetkisi olan kullanıcılara iade etmekten de sorumludur.

Küme bu anahtarları sağlamanın kritik işlevini yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin sürdürülmesi zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriği GERI ALINAMAZ BIR ŞEKILDE KAYIPINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamalar zorunludur:

Bir felaket, birincil veri merkezindeki HDS dağıtımının kullanılamamasına neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü izleyin.

Başlamadan önce

Düğüm Kaldırma’da belirtildiği gibi Partner Hub’daki tüm düğümlerin kaydını kaldırın. Aşağıda belirtilen yük devretme prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümleri için yapılandırılan en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin.

2

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.

3

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin.

Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

7

Düğümü Partner hub’a kaydedin. Kümedeki ilk düğümü kaydet’e bakın.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Yük devretmeden sonra, birincil veri merkezi tekrar aktif hale gelirse, bekleme veri merkezinin düğümlerinin kaydını kaldırın ve yukarıda belirtildiği gibi ISO'yu yapılandırma ve birincil veri merkezinin düğümlerini kaydetme işlemini tekrarlayın.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldır

Standart HDS yapılandırması, ISO takılı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte etmemeyi tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasının bağlantısını kaldırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenen ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonrasına yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Sunucu Aygıtında HDS düğümünü seçin.

3

Ayarları Düzenle > CD/DVD sürücüsü ’nü seçin ve Datastore ISO Dosyası seçeneğinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika alarm olmadığından emin olun.

5

Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları Görüntüleme ve Sorun Giderme

Karma Veri Güvenliği dağıtımının, kümedeki tüm düğümlere ulaşılamıyorsa veya küme zaman aşımı isteyen çok yavaş çalışıyorsa kullanılamıyor olduğu düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Şunlar için mesajlar ve alan başlıklarının şifresi çözülemiyor:

    • Alana eklenen yeni kullanıcılar (anahtarlar alınamıyor)

    • Yeni istemci kullanan bir alanda bulunan kullanıcılar (anahtarlar alınamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintisi yaşanmasını önlemek için Karma Veri Güvenliği kümenizi düzgün şekilde izlemeniz ve uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumunda bir sorun olduğunda, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Yaygın Sorunlar ve Bunları Çözme Adımları

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmeti erişim hatası.

Düğümlerin Harici bağlantı gereksinimleri bölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut hizmeti kaydının yenilenmesi.

Bulut hizmetlerine kayıt bağlantısı kesildi. Kaydın yenilenmesi devam ediyor.

Bulut hizmeti kaydı sonlandırıldı.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz etkinleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

Bunun en olası nedeni, sertifika CN’sinin yakın zamanda değişmiş olması ve artık ilk kurulum sırasında kullanılan CN’den farklı olmasıdır.

Bulut hizmetleriyle kimlik doğrulanamadı.

Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası süre sonu olup olmadığını kontrol edin.

Yerel keystore dosyası açılamadı.

Yerel anahtar deposu dosyasında bütünlük ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından düzenlendiğini onaylayın.

Ölçümler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizini mevcut değil.

Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarılı bir şekilde bağlandığını doğrulayın.

Eklenen kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı'nı kullanarak yeni eklenen kiracı kuruluşları için CMK oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşlarının CMK’larını iptal ederek kurulumu tamamlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Tüm uyarılar için Partner Hub’ı gözden geçirin ve burada bulduğunuz tüm öğeleri düzeltin. Referans için aşağıdaki resme bakın.

2

Karma Veri Güvenliği dağıtımında etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi kelimeleri filtreleyin.

3

Cisco destek ile iletişime geçin.

Diğer notlar

Karma Veri Güvenliği için Bilinen Sorunlar

  • Karma Veri Güvenliği kümenizi kapatırsanız (Partner Hub’da silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı veya anahtar deposu veritabanına erişimi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Şu anda bu sorun için bir çözüm veya çözümümüz yok ve HDS hizmetleriniz etkin kullanıcı hesaplarını işledikten sonra kapatmamanızı rica ediyoruz.

  • Bir KMS'ye mevcut bir ECDH bağlantısı olan bir istemci, bu bağlantıyı belirli bir süre (muhtemelen bir saat) korur.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yüklemek için uygun biçimde yapmak için kullanılabilen bir araçtır. Bunu yapmanın başka yolları da vardır ve biz bir yoldan diğerine desteklemez veya teşvik etmeyiz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleri'nde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sunuyoruz. Devam etmeden önce bu gereksinimleri anlayın.

  • OpenSSL'yi desteklenen bir ortama yükleyin. Yazılım ve belgeler https://www.openssl.org için bkz.

  • Özel anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

CA'nızdan sunucu sertifikasını aldığınızda, bunu hdsnode.pem olarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

OpenSSL functions

3

hdsnode-bundle.pem adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası, sunucu sertifikasını, herhangi bir ara sertifika yetkilisi sertifikasını ve kök sertifika yetkilisi sertifikalarını aşağıdaki biçimde içermelidir:

-----BEGIN CERTIFICATE------ ### Sunucu sertifikası. ### -----END CERTIFICATE-------- BEGIN CERTIFICATE----- ### Ara CA sertifikası. ### -----END CERTIFICATE------- BEGIN CERTIFICATE-------  ### Kök CA sertifikası. ### -----END CERTIFICATE---------- END CERTIFICATE------

4

.p12 dosyasını kms-private-key adlı dostane adla oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifikası ayrıntılarını kontrol edin.

  1. openssl pkcs12 - in hdsnode.p12

  2. Çıktıda listelenmesi için özel anahtarı şifrelemek üzere istemde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın hatlarını friendlyName: kms-private-key.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12 Içe Aktarma Parolasını Girin: MAC tarafından doğrulanmış Tamam Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Anahtar Öznitelikler:  PEM parolasını girin: Doğrulanıyor - PEM parolayı girin: -----ŞIFRELI ÖZEL ANAHTARI BAŞLAT-----  -----ŞIFRELI ÖZEL ANAHTAR BITIR----- Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE------

Sonraki işlemler

Karma Veri Güvenliği Için Ön Koşulları Tamamlama’ya dönün. HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma bölümünde hdsnode.p12 dosyasını ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika istemek için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut arasındaki trafik

Giden Metrikler Toplama Trafiği

Karma Veri Güvenliği düğümleri, belirli ölçümleri Webex buluta gönderir. Bunlar; yığın maks., kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem metrikleri; senkronize ve asenkron iş parçacıklarındaki metrikler; şifreleme bağlantılarının eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılara ilişkin metrikler; veri deposundaki metrikler ve şifreleme bağlantı metrikleri içerir. Düğümler, şifreli anahtar materyali bant dışı (istekten ayrı) kanal üzerinden gönderir.

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex buluttan aşağıdaki gelen trafik türlerini alır:

  • Istemcilerden gelen ve şifreleme hizmeti tarafından yönlendirilen şifreleme istekleri

  • Düğüm yazılımına yükseltilir

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu bölümler, WSS kimliği 'nin çeşitli sürümlerinin WSS 'yi yoksayması hakkında rehberlik verir : hizmetlerinin düzgün çalışması için trafik.

SQUID 4 ve 5

on_unsupported_protocol Yönergeyi squid.conf’a ekleyin:

on_unsupported_protocol tünel tümü

Squid 3.5.27

Squid. conf dosyasına eklenen aşağıdaki kurallarla karma veri güvenliğini başarıyla test ettik . Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex cıva-bağlantı ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump göz atma step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tabloda yeni özellikler veya işlevler, mevcut içerikte yapılan değişiklikler ve Çok Kiracılı Karma Veri Güvenliği için Dağıtım Kılavuzu’nda düzeltilen tüm büyük hatalar ele alınmaktadır.

Tarih

Değişiklikler yapıldı

15 Ocak 2025

Çok Kiracılı Karma Veri Güvenliği Sınırlamaları eklendi.

08 Ocak 2025

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin ’e, Partner Hub’daki HDS kartında Kur ’a tıklandığında yükleme işleminin önemli bir adımı olduğunu belirten bir not eklendi.

07 Ocak 2025

Yeni ESXi 7.0 gereksinimini göstermek için Sanal Toplantı Sahibi Gereksinimleri, Karma Veri Güvenliği Dağıtım Görev Akışı ve HDS Ana Bilgisayar OVA'sını Yükle güncellendi.

13 Aralık 2024

Ilk yayınlandı.

Çok Kiracılı Karma Veri Güvenliğini Devre Dışı Bırak

Çok Kiracılı HDS Devre Dışı Bırakma Görev Akışı

Çok Kiracılı HDS’yi tamamen devre dışı bırakmak için bu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Iş Ortağı tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldır’da belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde belirtildiği gibi tüm müşterilerin CMK’larını iptal edin.

3

Düğüm Kaldır’da belirtildiği gibi tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub’dan tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil ’i seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldır’ı seçin.
5

Karma Veri Güvenliğine genel bakış sayfasındaki Ayarlar sekmesine tıklayın ve HDS Durum kartında HDS’yi Devre Dışı Bırak ’a tıklayın.

Çok Kiracılı Karma Veri Güvenliği’ni kullanmaya başlayın

Çok Kiracılı Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Karma Veri Güvenliği , kuruluşların hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifrelemeyi ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel iş ortağı aracılığıyla HDS'den yararlanmasını sağlar. Bu kurulum, iş ortağı kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin harici erişime karşı güvenli olmasını sağlar. Iş ortağı kuruluşlar, HDS örneklerini kurar ve gerektiğinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine birden fazla müşteri kuruluşunu destekleyebilir.

Iş ortağı kuruluşların dağıtım ve yönetim üzerinde kontrolü olsa da, müşteriler tarafından oluşturulan verilere ve içeriğe erişimi yoktur. Bu erişim, müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Veri merkezleri gibi Anahtar yönetim hizmeti ve güvenlik altyapısı güvenilir yerel iş ortağına ait olduğundan bu, daha küçük kuruluşların HDS’den yararlanmasına da olanak tanır.

Çok Kiracılı Karma Veri Güvenliği, veri egemenliği ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerikler, bulut hizmeti sağlayıcıları gibi harici erişime karşı korunur.
  • Yerel güvenilir iş ortakları, önceden kurulmuş ilişkileri olan müşterilerin şifreleme anahtarlarını yönetir.
  • Iş ortağı tarafından belirtildiyse yerel teknik destek seçeneği.
  • Toplantılar, Mesajlaşma ve Arama içeriğini destekler.

Bu belge, iş ortağı kuruluşlarının Çok Kiracılı Karma Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmayı amaçlamaktadır.

Çok Kiracılı Karma Veri Güvenliği Sınırlamaları

  • Iş ortağı kuruluşlarının Control Hub’da etkin bir HDS dağıtımı olmamalıdır.
  • Bir iş ortağı tarafından yönetilmek isteyen kiracı veya müşteri kuruluşlarının Control Hub’da mevcut bir HDS dağıtımı olmamalıdır.
  • Çok Kiracılı HDS iş ortağı tarafından dağıtıldıktan sonra, müşteri kuruluşlarının ve iş ortağı kuruluşunun kullanıcıları şifreleme hizmetleri için Çok Kiracılı HDS'den yararlanmaya başlar.

    Yönettikleri iş ortağı kuruluş ve müşteri kuruluşları aynı Çok Kiracılı HDS dağıtımında olacak.

    Çok Kiracılı HDS dağıtıldıktan sonra iş ortağı kuruluş artık bulut KMS’sini kullanmayacak.

  • Bir HDS dağıtımından sonra anahtarları Bulut KMS'ye geri taşımak için bir mekanizma yoktur.
  • Şu anda her Çok Kiracılı HDS dağıtımında yalnızca bir küme bulunabilir ve altında birden fazla düğüm bulunabilir.
  • Yönetici rollerinin belirli sınırlamaları vardır; ayrıntılar için aşağıdaki bölüme bakın.

Çok Kiracılı Karma Veri Güvenliğinde Roller

  • Iş Ortağı tam Yönetici - Iş ortağının yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Iş ortağı yönetici - Yöneticinin sağladığı veya kullanıcıya atanmış olan müşterilerin ayarlarını yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yerine getirme yetkisi olan iş ortağı kuruluşun yöneticisidir.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Iş ortağı tam yönetici ve Tam yönetici hakları gereklidir.
  • Atanan kiracı kuruluşlarının yönetimi - Iş ortağı yöneticisi ve Tam yönetici hakları gereklidir.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

  1. Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.

  2. Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.

  3. Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.

  4. Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Çok Kiracılı Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli bir taahhüt ve şifreleme anahtarlarına sahip olmanın riskleri hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

  • Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.

  • Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst düzey Kurulum süreci

Bu belgede, Çok Kiracılı Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

  • Karma Veri Güvenliğini Ayarlama—Buna, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımının yüklenmesi, bir HDS kümesi oluşturma, kümeye kiracı kuruluşları ekleme ve Müşteri Ana Anahtarlarını (CMK'lar) yönetme dahildir. Bu, müşteri kuruluşlarınızın tüm kullanıcılarının güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmasını sağlar.

    Kurulum, etkinleştirme ve yönetim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınır.

  • Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Partner Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarıları ayarlayabilirsiniz.

  • Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Partner Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Yük Devretme

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Karma Veri Güvenliğini dağıtmak için:

  • Iş Ortağı Kuruluşlar: Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Kuruluşları: Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı

Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.

  • Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır

  • Joker karakter sertifikası değil

CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, hds.company.com.

CN, bir * (joker karakter) içermemelidir.

CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar.

Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı PKCS #12 dosyası olarak biçimlendirildi

  • Sertifikayı, özel anahtarı ve yüklemek için tüm ara sertifikaları etiketlemek için kms-private-key kolay adını kullanın.

Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)

  • VMware ESXi 7.0 (veya sonraki sürümleri) yüklendi ve çalışıyor.

    ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

posix_times

SQL Sunucusu

  • PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.

  • SQL Server 2016, 2017 veya 2019 (Kurumsal veya Standart) yüklendi.

    SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.

  • HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yön

Hedef

Karma Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Common Identity toplantı sahipleri

  • Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Common Identity toplantı sahipleri

  • hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Iş ortağı kuruluşunuzda Çok Kiracılı HDS özelliğinin etkin olduğundan emin olun ve iş ortağı tam yönetici ve tam yönetici hakları olan bir hesabın kimlik bilgilerini alın. Webex müşteri kuruluşunuzun, Cisco Webex Control Hub için Pro Pack’e etkinleştirildiğinden emin olun. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşları mevcut HDS dağıtımına sahip olmamalıdır.

2

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.

3

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.

4

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir.

  1. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

6

Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).

7

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

8

Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin.

Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.

10

Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği kümesi ayarla

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

OVA dosyasını daha sonra kullanılmak üzere yerel makinenize indirin.

2

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Karma Veri Güvenliği VM’sini ayarlayın

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

VM'yi, HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirin.

HDS’yi etkinleştirin ve Partner Hub’da kiracı kuruluşlarını yönetin.

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

Bu görevde, bir OVA dosyasını makinenize (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil) indirirsiniz. Bu dosyayı daha sonra yükleme işleminde kullanırsınız.

1

Partner Hub’da oturum açın ve ardından Hizmetler’e tıklayın.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

Partner Hub’da Kur ’a tıklamak, dağıtım işlemi için önemlidir. Bu adımı tamamlamadan yükleme işlemine devam etmeyin.

3

Kaynak ekle ’ye ve Yazılımı Yükle ve Yapılandır kartında .OVA dosyasını indir ’e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden de indirebilirsiniz. Ayarlar > Yardım > Karma Veri Güvenliği yazılımını indir’e tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizdeki bir konuma kaydedin.
4

Isteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Karma veri güvenliği dağıtım kılavuzuna göz atın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında şu seçeneklere sahipsiniz:

  • Hayır: Ilk HDS düğümünüzü oluşturuyorsanız yüklenecek bir ISO dosyanız yoktur.
  • Evet: Daha önce HDS düğümleri oluşturduysanız, göz atmada ISO dosyanızı seçin ve yükleyin.
10

X.509 sertifikanızın, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşıladığından emin olun.

  • Daha önce hiç bir sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam’a tıklayın.
  • Sertifikanız tamam ise Devam’a tıklayın.
  • Sertifikanızın süresi dolmuşsa veya sertifikayı değiştirmek istiyorsanız Önceki ISO’dan HDS sertifika zincirini ve özel anahtarı kullanmaya devam et? için Hayır’ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam’a tıklayın.
11

Anahtar veri deponuza erişmek üzere HDS’nin veritabanı adresini ve hesabını girin:

  1. Veritabanı Türü (PostgreSQL veya Microsoft SQL Server) öğesini seçin.

    Microsoft SQL Server'ı seçerseniz, Kimlik Doğrulama Türü alanına sahip olursunuz.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzü seçin:

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesabı adına ihtiyacınız vardır.

    • Windows Kimlik Doğrulaması: Kullanıcı adı alanında kullanıcıadı@DOMAIN biçiminde bir Windows hesabına ihtiyacınız vardır.

  3. Veritabanı sunucusu adresini : veya : biçiminde girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulaması kullanıyorsanız dbhost.example.org:1433 biçiminde Tam Etki Alanı Adı girmelisiniz

  4. Veritabanı Adı’nı girin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adı ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modu’nu seçin:

Mode

Açıklama

TLS'yi Tercih Etme (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca, sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam'a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısı kurabilir.)

13

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

  1. Sistem günlüğü sunucusu URL'sini girin.

    Sunucu HDS kümeniz için düğümlerden DNS ile çözümlenebilir değilse URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 , UDP bağlantı noktası 514'te Syslogd ana bilgisayarına 10.92.43.23 günlüğe kaydedildiğini gösterir.

  2. Sunucunuzu TLS şifrelemesi kullanacak şekilde ayarladıysanız, Sistem günlüğü sunucunuz SSL şifrelemesi için yapılandırılmış mı? seçeneğini işaretleyin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL’si girdiğinizden emin olun.

  3. Sistem günlüğü kaydının sonlanmasını seç açılır menüsünden ISO dosyanız için uygun ayarı seçin: Gri Günlük ve Rsyslog TCP için Seç veya Yeni Hat Kullan

    • Boş bayt -- \x00

    • Yeni satır -- \n—Gri Günlük ve Rsyslog TCP için bu seçimi seçin.

  4. Devam Et'e tıklayın.

14

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar’da değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek seçenektir:

app_datasource_connection_pool_maxBoyut: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında Devam ’a tıklayın.

Hizmet hesabı parolalarının kullanım ömrü dokuz aydır. Parolalarınızın süresi dolmak üzere olduğunda veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını Indir’e tıklayın. Dosyayı bulmak kolay bir konuma kaydedin.

17

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın.

Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

18

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmanız veya yapılandırma değişiklikleri yapmanız gerekir. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybedersiniz. Anahtarları PostgreSQL veya Microsoft SQL Server veritabanınızdan kurtarmak mümkün değil.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından sanal bir makine oluşturmak için bu prosedürü kullanın.
1

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Dosya > OVF Şablonunu Dağıt'ı seçin.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından Ileri’ye tıklayın.

4

Ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, “HDS_Node_1”), sanal makine düğümü dağıtımının bulunabileceği bir konum seçin ve ardından Ileri’ye tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından Ileri’ye tıklayın.

Bir doğrulama kontrolü çalışır. Işlem tamamlandıktan sonra şablon ayrıntıları görüntülenir.

6

Şablon ayrıntılarını doğrulayıp Ileri’ye tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU ’ya ve ardından Ileri’ye tıklayın.

8

Depolama alanını seçin sayfasında, varsayılan disk biçimi ve sanal makine depolama politikasını kabul etmek için Ileri ’ye tıklayın.

9

Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

  • Ana bilgisayar adı—FQDN'yi (ana bilgisayar adı ve etki alanı) veya düğüm için tek kelime ana bilgisayar adını girin.

    • Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

    • Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri aşmamalıdır.

  • IP Adresi— Düğümün dahili arayüzünün IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören ağ düğümüdür.
  • DNS Sunucuları—Etki alanı adlarının sayısal IP adreslerine çevrilmesiyle ilgilenen, virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
  • NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağda veya VLAN’da dağıtın, böylece bir kümedeki tüm düğümlere yönetim amaçları doğrultusunda ağınızdaki istemcilerden ulaşılabilir olur.

Tercih edilirse ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm sanal makinesine sağ tıklayın ve ardından Güç > Güç Aç'ı seçin.

Karma Veri Güvenliği yazılımı, sanal makine ana bilgisayarında konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm konteynerleri açılmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk başlatma sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görüntülenir.

Karma Veri Güvenliği VM’sini ayarlayın

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Karma Veri Güvenliği düğümü VM'nizi ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmiyorsa Enter tuşuna basın.
2

Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın:

  1. Oturum Açma: Yönetici

  2. Parola: Cisco

Sanal makinenizde ilk kez oturum açtığınızdan, yönetici parolasını değiştirmeniz gerekir.

3

HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını zaten yapılandırdıysanız bu prosedürün geri kalanını atlayın. Aksi takdirde, ana menüde Yapılandırmayı Düzenle seçeneğini belirleyin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(Isteğe bağlı) Ağ politikanızla eşleşmek için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin.

Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, dosya yalnızca Karma Veri Güvenliği sanal makinelerinin ve değişiklik yapması gerekebilecek yöneticilerin erişim için "bilinmesi gereken" temelinde gösterilmelidir. Yalnızca bu yöneticilerin veri deposuna erişebildiğinden emin olun.

1

Bilgisayarınızdan ISO dosyasını yükleyin:

  1. VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinden Depolama’ya tıklayın.

  3. Veri Depoları listesinde, sanal makinelerinizin veri mağazasına sağ tıklayın ve Veri Mağazasına Gözat'a tıklayın.

  4. Dosya Yükle simgesine ve ardından Dosya Yükle’ye tıklayın.

  5. ISO dosyasını bilgisayarınıza indirdiğiniz konuma gidin ve ’a tıklayın.

  6. Yükleme/indirme işlemi uyarısını kabul etmek için Evet ’e tıklayın ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Kısıtlanmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Sürücü 1'e tıklayın, veri deposu ISO dosyasından bağlanma seçeneğini seçin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Açıldığında bağlan’ı işaretleyin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasının bağlantısını kaldırabilirsiniz. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir Web tarayıcısına HDS düğüm kurulum URL 'sini https://[HDS düğüm IP veya FQDN]/kurulum girin , düğüm için kurduğunuz yönetici kimlik bilgilerini girin ve ardından oturum aç 'a tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok: Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlenmeyen Proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy: Açık proxy ile istemciye hangi proxy sunucusunu kullanacağını (HDS düğümleri) söylersiniz ve bu seçenek birkaç kimlik doğrulama türünü destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve Engellenen Harici DNS Çözünürlük Modunu Kapat bölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev, Karma Veri Güvenliği sanal makinesini ayarla’da oluşturduğunuz genel düğümü alır, düğümü Webex buluta kaydeder ve bir Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

4

Açılan sayfada Kaynak ekle’ye tıklayın.

5

Düğüm ekle kartının ilk alanında, Karma Veri Güvenliği düğümünüzü atamak istediğiniz kümenin adını girin.

Kümeyi, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

Ikinci alanda, düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle ’ye tıklayın.

Bu IP adresi veya FQDN, Karma Veri Güvenliği VM’sini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex’e kaydedebileceğinizi gösteren bir mesaj görünür.
7

Düğüme Git’e tıklayın.

Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

8

Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.
9

Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesinde görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve ardından düğümü kaydetmeniz yeterlidir. En az 3 düğümün olmasını öneririz.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

OVA'dan HDS Ana Bilgisayar OVA'sını Yükleme adımlarını tekrarlayarak yeni bir sanal makine oluşturun.

2

Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinenin ilk yapılandırmasını ayarlayın.

3

Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Montaj bölümündeki adımları tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği şekilde tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com üzerinde, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

  2. Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Tümünü görüntüle’ye tıklayın.

    Karma Veri Güvenliği Kaynakları sayfası açılır.

  3. Yeni oluşturulan küme, Kaynaklar sayfasında görünecektir.

  4. Kümeye atanan düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle ’ye tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekle’ye tıklayın.

    Düğümünüzü Webex buluta kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

  7. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

    Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.

  8. Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

    Eklenen düğüm açılır mesajı da Partner Hub'da ekranın alt kısmında görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Karma Veri Güvenliği’nde Kiracı kuruluşlarını yönet

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirme

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Şirket Içi şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS’den yararlanmaya başlamasını sağlar.

Başlamadan önce

Çok Kiracılı HDS kümenizi gerekli sayıda düğüm ile kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

4

HDS Durumu kartında HDS’yi Etkinleştir ’e tıklayın.

Partner Hub’a kiracı kuruluşları ekle

Bu görevde, müşteri kuruluşlarını Karma Veri Güvenliği Kümenize atayabilirsiniz.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanan müşteriler sekmesine gidin.

6

Müşteri ekle’ye tıklayın.

7

Açılır menüden eklemek istediğiniz müşteriyi seçin.

8

Ekle’ye tıkladığınızda müşteri kümeye eklenir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ’ye tıklayın.

Sonraki işlemler

Kurulum işlemini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma bölümünde açıklanan şekilde HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma

Başlamadan önce

Partner Hub’da kiracı kuruluşları ekle bölümünde ayrıntılı olarak açıklandığı şekilde müşterileri uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlantı kurulduğundan emin olun.
11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK oluştur veya CMK oluştur - Yeni eklenen tüm kuruluşlar için CMK oluşturmak için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve yeni eklenen tüm kuruluşlar için CMK oluşturmak için CMK oluştur ’a tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleme durumunun yanındaki … öğesine tıklayın ve CMK oluştur öğesine tıklayarak o kuruluş için CMK oluşturun.
12

CMK oluşturma başarılı olduktan sonra, tablodaki durum CMK yönetimi beklemede iken CMK yönetimine geçecektir.

13

CMK oluşturma başarısız olursa bir hata görüntülenir.

Kiracı kuruluşlarını kaldır

Başlamadan önce

Kaldırıldıktan sonra, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS’den yararlanamayacak ve mevcut tüm alanları kaybedecektir. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanan Müşteriler’e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğesine ve Kümeden kaldır seçeneğine tıklayın.

Sonraki işlemler

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde açıklandığı şekilde müşteri kuruluşlarının CMK’larını iptal ederek kaldırma işlemini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Kiracı kuruluşlarını kaldır bölümünde açıklanan şekilde müşterileri uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK’yı iptal et veya CMK’yı iptal et - Kaldırılan tüm kuruluşların CMK’larını iptal etmek için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve kaldırılan tüm kuruluşların CMK’larını iptal etmek için CMK’ları iptal et ’e tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilmesi için CMK durumunun yanındaki ... seçeneğine tıklayın ve belirli bir kuruluşun CMK'sını iptal etmek için CMK'yı iptal et seçeneğine tıklayın.
12

CMK iptali başarılı olduktan sonra müşteri kuruluşu artık tabloda görünmez.

13

CMK iptali başarısız olursa bir hata görüntülenir.

Karma Veri Güvenliği dağıtımınızı test edin

Karma Veri Güvenliği Dağıtımınızı Test Etme

Çok Kiracılı Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Karma Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

1

Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve bir alan oluşturun.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra kullanıcıların oluşturduğu alanlardaki içeriğe artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

  1. Önce KMS'de güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION'da filtreleyin:

    Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmış):
    2020-07-21 17:35:34.562 (+0000) BILGI KMS [pool-14-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS’den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:19.889 (+0000) BILGI KMS [pool-14-thread-31] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:21.975 (+0000) BILGI KMS [pool-14-thread-33] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir: 
    2020-07-21 17:44:22.808 (+0000) BILGI KMS [pool-15-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Durumunu Izleme

Partner Hub’daki durum göstergesi, Çok Kiracılı Karma Veri Güvenliği konuşlandırması ile ilgili her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarı için e-posta bildirimlerine kaydolun. Hizmeti etkileyen uyarı veya yazılım yükseltmeleri olduğunda bildirim alacaksınız.
1

Partner Hub’da, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

Karma Veri Güvenliği Ayarları sayfası açılır.
3

E-posta Bildirimleri bölümünde virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönet

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planını Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlayan küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı belirleyebilir veya Amerika Birleşik Devletleri Günlük 15:00 varsayılan planını kullanabilirsiniz: Amerika/Los Angeles. Gerekirse, yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Kur'a tıklayın

4

Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Planı altında yükseltme planı için saat ve saat dilimini seçin.

Not: Saat dilimi altında, bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerekirse 24 saat ertele seçeneğine tıklayarak yükseltmeyi bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama—Eski ve yeni parolaların her ikisi de 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Zorla sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, iş ortağı tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 1.e’de Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker çekme ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker çekme ciscocitg/hds-setup-fedramp:kararlı

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışıyorsa, "Bağlantı noktası 8080'i dinleyen Express sunucusunu" görüntülersiniz.

  6. Localhost'a bağlanmak için tarayıcı kullanın.http://127.0.0.1:8080

    Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

  7. Istendiğinde, Partner Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et ’e tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızca bir HDS düğümü çalışıyorsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha fazla düğüm oluşturma ve kaydetme.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni düğümü Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Karma Veri Güvenliği düğüm arabirimini (IP adresi/kurulum, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve Oturum Aç’a tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğüm Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.
1

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Düğümü kaldır:

  1. Partner Hub’da oturum açın ve ardından Hizmetler’i seçin.

  2. Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle ’ye tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümün kaydını sil 'e tıklayın

  6. Düğümün sağ tarafındaki … öğesine tıklayarak ve Bu düğümü kaldır’ı seçerek de düğümün kaydını silebilirsiniz.

3

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil'e tıklayın.)

Sanal makineyi silmezseniz, yapılandırma ISO dosyasının bağlantısını kaldırmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Karma Veri Güvenliğine atanan her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyeleri, alma yetkisi olan kullanıcılara iade etmekten de sorumludur.

Küme bu anahtarları sağlamanın kritik işlevini yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin sürdürülmesi zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriği GERI ALINAMAZ BIR ŞEKILDE KAYIPINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamalar zorunludur:

Bir felaket, birincil veri merkezindeki HDS dağıtımının kullanılamamasına neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü izleyin.

Başlamadan önce

Düğüm Kaldırma’da belirtildiği gibi Partner Hub’daki tüm düğümlerin kaydını kaldırın. Aşağıda belirtilen yük devretme prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümleri için yapılandırılan en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin.

2

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.

3

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin.

Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

7

Düğümü Partner hub’a kaydedin. Kümedeki ilk düğümü kaydet’e bakın.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Yük devretmeden sonra, birincil veri merkezi tekrar aktif hale gelirse, bekleme veri merkezinin düğümlerinin kaydını kaldırın ve yukarıda belirtildiği gibi ISO'yu yapılandırma ve birincil veri merkezinin düğümlerini kaydetme işlemini tekrarlayın.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldır

Standart HDS yapılandırması, ISO takılı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte etmemeyi tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasının bağlantısını kaldırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenen ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonrasına yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Sunucu Aygıtında HDS düğümünü seçin.

3

Ayarları Düzenle > CD/DVD sürücüsü ’nü seçin ve Datastore ISO Dosyası seçeneğinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika alarm olmadığından emin olun.

5

Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları Görüntüleme ve Sorun Giderme

Karma Veri Güvenliği dağıtımının, kümedeki tüm düğümlere ulaşılamıyorsa veya küme zaman aşımı isteyen çok yavaş çalışıyorsa kullanılamıyor olduğu düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Şunlar için mesajlar ve alan başlıklarının şifresi çözülemiyor:

    • Alana eklenen yeni kullanıcılar (anahtarlar alınamıyor)

    • Yeni istemci kullanan bir alanda bulunan kullanıcılar (anahtarlar alınamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintisi yaşanmasını önlemek için Karma Veri Güvenliği kümenizi düzgün şekilde izlemeniz ve uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumunda bir sorun olduğunda, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Yaygın Sorunlar ve Bunları Çözme Adımları

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmeti erişim hatası.

Düğümlerin Harici bağlantı gereksinimleri bölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut hizmeti kaydının yenilenmesi.

Bulut hizmetlerine kayıt bağlantısı kesildi. Kaydın yenilenmesi devam ediyor.

Bulut hizmeti kaydı sonlandırıldı.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz etkinleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

Bunun en olası nedeni, sertifika CN’sinin yakın zamanda değişmiş olması ve artık ilk kurulum sırasında kullanılan CN’den farklı olmasıdır.

Bulut hizmetleriyle kimlik doğrulanamadı.

Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası süre sonu olup olmadığını kontrol edin.

Yerel keystore dosyası açılamadı.

Yerel anahtar deposu dosyasında bütünlük ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından düzenlendiğini onaylayın.

Ölçümler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizini mevcut değil.

Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarılı bir şekilde bağlandığını doğrulayın.

Eklenen kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı'nı kullanarak yeni eklenen kiracı kuruluşları için CMK oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşlarının CMK’larını iptal ederek kurulumu tamamlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Tüm uyarılar için Partner Hub’ı gözden geçirin ve burada bulduğunuz tüm öğeleri düzeltin. Referans için aşağıdaki resme bakın.

2

Karma Veri Güvenliği dağıtımında etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi kelimeleri filtreleyin.

3

Cisco destek ile iletişime geçin.

Diğer notlar

Karma Veri Güvenliği için Bilinen Sorunlar

  • Karma Veri Güvenliği kümenizi kapatırsanız (Partner Hub’da silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı veya anahtar deposu veritabanına erişimi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Şu anda bu sorun için bir çözüm veya çözümümüz yok ve HDS hizmetleriniz etkin kullanıcı hesaplarını işledikten sonra kapatmamanızı rica ediyoruz.

  • Bir KMS'ye mevcut bir ECDH bağlantısı olan bir istemci, bu bağlantıyı belirli bir süre (muhtemelen bir saat) korur.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yüklemek için uygun biçimde yapmak için kullanılabilen bir araçtır. Bunu yapmanın başka yolları da vardır ve biz bir yoldan diğerine desteklemez veya teşvik etmeyiz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleri'nde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sunuyoruz. Devam etmeden önce bu gereksinimleri anlayın.

  • OpenSSL'yi desteklenen bir ortama yükleyin. Yazılım ve belgeler https://www.openssl.org için bkz.

  • Özel anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

CA'nızdan sunucu sertifikasını aldığınızda, bunu hdsnode.pem olarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

OpenSSL functions

3

hdsnode-bundle.pem adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası, sunucu sertifikasını, herhangi bir ara sertifika yetkilisi sertifikasını ve kök sertifika yetkilisi sertifikalarını aşağıdaki biçimde içermelidir:

-----BEGIN CERTIFICATE------ ### Sunucu sertifikası. ### -----END CERTIFICATE-------- BEGIN CERTIFICATE----- ### Ara CA sertifikası. ### -----END CERTIFICATE------- BEGIN CERTIFICATE-------  ### Kök CA sertifikası. ### -----END CERTIFICATE---------- END CERTIFICATE------

4

.p12 dosyasını kms-private-key adlı dostane adla oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifikası ayrıntılarını kontrol edin.

  1. openssl pkcs12 - in hdsnode.p12

  2. Çıktıda listelenmesi için özel anahtarı şifrelemek üzere istemde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın hatlarını friendlyName: kms-private-key.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12 Içe Aktarma Parolasını Girin: MAC tarafından doğrulanmış Tamam Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Anahtar Öznitelikler:  PEM parolasını girin: Doğrulanıyor - PEM parolayı girin: -----ŞIFRELI ÖZEL ANAHTARI BAŞLAT-----  -----ŞIFRELI ÖZEL ANAHTAR BITIR----- Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE------

Sonraki işlemler

Karma Veri Güvenliği Için Ön Koşulları Tamamlama’ya dönün. HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma bölümünde hdsnode.p12 dosyasını ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika istemek için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut arasındaki trafik

Giden Metrikler Toplama Trafiği

Karma Veri Güvenliği düğümleri, belirli ölçümleri Webex buluta gönderir. Bunlar; yığın maks., kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem metrikleri; senkronize ve asenkron iş parçacıklarındaki metrikler; şifreleme bağlantılarının eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılara ilişkin metrikler; veri deposundaki metrikler ve şifreleme bağlantı metrikleri içerir. Düğümler, şifreli anahtar materyali bant dışı (istekten ayrı) kanal üzerinden gönderir.

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex buluttan aşağıdaki gelen trafik türlerini alır:

  • Istemcilerden gelen ve şifreleme hizmeti tarafından yönlendirilen şifreleme istekleri

  • Düğüm yazılımına yükseltilir

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu bölümler, WSS kimliği 'nin çeşitli sürümlerinin WSS 'yi yoksayması hakkında rehberlik verir : hizmetlerinin düzgün çalışması için trafik.

SQUID 4 ve 5

on_unsupported_protocol Yönergeyi squid.conf’a ekleyin:

on_unsupported_protocol tünel tümü

Squid 3.5.27

Squid. conf dosyasına eklenen aşağıdaki kurallarla karma veri güvenliğini başarıyla test ettik . Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex cıva-bağlantı ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump göz atma step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tabloda yeni özellikler veya işlevler, mevcut içerikte yapılan değişiklikler ve Çok Kiracılı Karma Veri Güvenliği için Dağıtım Kılavuzu’nda düzeltilen tüm büyük hatalar ele alınmaktadır.

Tarih

Değişiklikler yapıldı

30 Ocak 2025

Veritabanı sunucusu gereksinimleri bölümünde desteklenen SQL sunucularının listesine SQL sunucusu 2022 sürümü eklendi.

15 Ocak 2025

Çok Kiracılı Karma Veri Güvenliği Sınırlamaları eklendi.

08 Ocak 2025

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin ’e, Partner Hub’daki HDS kartında Kur ’a tıklandığında yükleme işleminin önemli bir adımı olduğunu belirten bir not eklendi.

07 Ocak 2025

Yeni ESXi 7.0 gereksinimini göstermek için Sanal Toplantı Sahibi Gereksinimleri, Karma Veri Güvenliği Dağıtım Görev Akışı ve HDS Ana Bilgisayar OVA'sını Yükle güncellendi.

13 Aralık 2024

Ilk yayınlandı.

Çok Kiracılı Karma Veri Güvenliğini Devre Dışı Bırak

Çok Kiracılı HDS Devre Dışı Bırakma Görev Akışı

Çok Kiracılı HDS’yi tamamen devre dışı bırakmak için bu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Iş Ortağı tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldır’da belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde belirtildiği gibi tüm müşterilerin CMK’larını iptal edin.

3

Düğüm Kaldır’da belirtildiği gibi tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub’dan tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil ’i seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldır’ı seçin.
5

Karma Veri Güvenliğine genel bakış sayfasındaki Ayarlar sekmesine tıklayın ve HDS Durum kartında HDS’yi Devre Dışı Bırak ’a tıklayın.

Çok Kiracılı Karma Veri Güvenliği’ni kullanmaya başlayın

Çok Kiracılı Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Karma Veri Güvenliği , kuruluşların hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifrelemeyi ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel iş ortağı aracılığıyla HDS'den yararlanmasını sağlar. Bu kurulum, iş ortağı kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin harici erişime karşı güvenli olmasını sağlar. Iş ortağı kuruluşlar, HDS örneklerini kurar ve gerektiğinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine birden fazla müşteri kuruluşunu destekleyebilir.

Iş ortağı kuruluşların dağıtım ve yönetim üzerinde kontrolü olsa da, müşteriler tarafından oluşturulan verilere ve içeriğe erişimi yoktur. Bu erişim, müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Veri merkezleri gibi Anahtar yönetim hizmeti ve güvenlik altyapısı güvenilir yerel iş ortağına ait olduğundan bu, daha küçük kuruluşların HDS’den yararlanmasına da olanak tanır.

Çok Kiracılı Karma Veri Güvenliği, veri egemenliği ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerikler, bulut hizmeti sağlayıcıları gibi harici erişime karşı korunur.
  • Yerel güvenilir iş ortakları, önceden kurulmuş ilişkileri olan müşterilerin şifreleme anahtarlarını yönetir.
  • Iş ortağı tarafından belirtildiyse yerel teknik destek seçeneği.
  • Toplantılar, Mesajlaşma ve Arama içeriğini destekler.

Bu belge, iş ortağı kuruluşlarının Çok Kiracılı Karma Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmayı amaçlamaktadır.

Çok Kiracılı Karma Veri Güvenliği Sınırlamaları

  • Iş ortağı kuruluşlarının Control Hub’da etkin bir HDS dağıtımı olmamalıdır.
  • Bir iş ortağı tarafından yönetilmek isteyen kiracı veya müşteri kuruluşlarının Control Hub’da mevcut bir HDS dağıtımı olmamalıdır.
  • Çok Kiracılı HDS iş ortağı tarafından dağıtıldıktan sonra, müşteri kuruluşlarının ve iş ortağı kuruluşunun kullanıcıları şifreleme hizmetleri için Çok Kiracılı HDS'den yararlanmaya başlar.

    Yönettikleri iş ortağı kuruluş ve müşteri kuruluşları aynı Çok Kiracılı HDS dağıtımında olacak.

    Çok Kiracılı HDS dağıtıldıktan sonra iş ortağı kuruluş artık bulut KMS’sini kullanmayacak.

  • Bir HDS dağıtımından sonra anahtarları Bulut KMS'ye geri taşımak için bir mekanizma yoktur.
  • Şu anda her Çok Kiracılı HDS dağıtımında yalnızca bir küme bulunabilir ve altında birden fazla düğüm bulunabilir.
  • Yönetici rollerinin belirli sınırlamaları vardır; ayrıntılar için aşağıdaki bölüme bakın.

Çok Kiracılı Karma Veri Güvenliğinde Roller

  • Iş Ortağı tam Yönetici - Iş ortağının yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Iş ortağı yönetici - Yöneticinin sağladığı veya kullanıcıya atanmış olan müşterilerin ayarlarını yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yerine getirme yetkisi olan iş ortağı kuruluşun yöneticisidir.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Iş ortağı tam yönetici ve Tam yönetici hakları gereklidir.
  • Atanan kiracı kuruluşlarının yönetimi - Iş ortağı yöneticisi ve Tam yönetici hakları gereklidir.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

  1. Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.

  2. Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.

  3. Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.

  4. Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Çok Kiracılı Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli bir taahhüt ve şifreleme anahtarlarına sahip olmanın riskleri hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

  • Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.

  • Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst düzey Kurulum süreci

Bu belgede, Çok Kiracılı Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

  • Karma Veri Güvenliğini Ayarlama—Buna, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımının yüklenmesi, bir HDS kümesi oluşturma, kümeye kiracı kuruluşları ekleme ve Müşteri Ana Anahtarlarını (CMK'lar) yönetme dahildir. Bu, müşteri kuruluşlarınızın tüm kullanıcılarının güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmasını sağlar.

    Kurulum, etkinleştirme ve yönetim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınır.

  • Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Partner Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarıları ayarlayabilirsiniz.

  • Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Partner Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Yük Devretme

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Karma Veri Güvenliğini dağıtmak için:

  • Iş Ortağı Kuruluşlar: Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Kuruluşları: Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı

Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.

  • Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır

  • Joker karakter sertifikası değil

CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, hds.company.com.

CN, bir * (joker karakter) içermemelidir.

CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar.

Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı PKCS #12 dosyası olarak biçimlendirildi

  • Sertifikayı, özel anahtarı ve yüklemek için tüm ara sertifikaları etiketlemek için kms-private-key kolay adını kullanın.

Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)

  • VMware ESXi 7.0 (veya sonraki sürümleri) yüklendi ve çalışıyor.

    ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

posix_times

SQL Sunucusu

  • PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.

  • SQL Server 2016, 2017, 2019 veya 2022 (Kurumsal veya Standart) yüklendi.

    SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.

  • HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yön

Hedef

Karma Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Common Identity toplantı sahipleri

  • Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Common Identity toplantı sahipleri

  • hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Iş ortağı kuruluşunuzda Çok Kiracılı HDS özelliğinin etkin olduğundan emin olun ve iş ortağı tam yönetici ve tam yönetici hakları olan bir hesabın kimlik bilgilerini alın. Webex müşteri kuruluşunuzun, Cisco Webex Control Hub için Pro Pack’e etkinleştirildiğinden emin olun. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşları mevcut HDS dağıtımına sahip olmamalıdır.

2

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.

3

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.

4

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir.

  1. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

6

Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).

7

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

8

Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin.

Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.

10

Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği kümesi ayarla

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

OVA dosyasını daha sonra kullanılmak üzere yerel makinenize indirin.

2

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Karma Veri Güvenliği VM’sini ayarlayın

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

VM'yi, HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirin.

HDS’yi etkinleştirin ve Partner Hub’da kiracı kuruluşlarını yönetin.

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

Bu görevde, bir OVA dosyasını makinenize (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil) indirirsiniz. Bu dosyayı daha sonra yükleme işleminde kullanırsınız.

1

Partner Hub’da oturum açın ve ardından Hizmetler’e tıklayın.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

Partner Hub’da Kur ’a tıklamak, dağıtım işlemi için önemlidir. Bu adımı tamamlamadan yükleme işlemine devam etmeyin.

3

Kaynak ekle ’ye ve Yazılımı Yükle ve Yapılandır kartında .OVA dosyasını indir ’e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden de indirebilirsiniz. Ayarlar > Yardım > Karma Veri Güvenliği yazılımını indir’e tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizdeki bir konuma kaydedin.
4

Isteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Karma veri güvenliği dağıtım kılavuzuna göz atın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında şu seçeneklere sahipsiniz:

  • Hayır: Ilk HDS düğümünüzü oluşturuyorsanız yüklenecek bir ISO dosyanız yoktur.
  • Evet: Daha önce HDS düğümleri oluşturduysanız, göz atmada ISO dosyanızı seçin ve yükleyin.
10

X.509 sertifikanızın, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşıladığından emin olun.

  • Daha önce hiç bir sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam’a tıklayın.
  • Sertifikanız tamam ise Devam’a tıklayın.
  • Sertifikanızın süresi dolmuşsa veya sertifikayı değiştirmek istiyorsanız Önceki ISO’dan HDS sertifika zincirini ve özel anahtarı kullanmaya devam et? için Hayır’ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam’a tıklayın.
11

Anahtar veri deponuza erişmek üzere HDS’nin veritabanı adresini ve hesabını girin:

  1. Veritabanı Türü (PostgreSQL veya Microsoft SQL Server) öğesini seçin.

    Microsoft SQL Server'ı seçerseniz, Kimlik Doğrulama Türü alanına sahip olursunuz.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzü seçin:

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesabı adına ihtiyacınız vardır.

    • Windows Kimlik Doğrulaması: Kullanıcı adı alanında kullanıcıadı@DOMAIN biçiminde bir Windows hesabına ihtiyacınız vardır.

  3. Veritabanı sunucusu adresini : veya : biçiminde girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulaması kullanıyorsanız dbhost.example.org:1433 biçiminde Tam Etki Alanı Adı girmelisiniz

  4. Veritabanı Adı’nı girin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adı ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modu’nu seçin:

Mode

Açıklama

TLS'yi Tercih Etme (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca, sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam'a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısı kurabilir.)

13

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

  1. Sistem günlüğü sunucusu URL'sini girin.

    Sunucu HDS kümeniz için düğümlerden DNS ile çözümlenebilir değilse URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 , UDP bağlantı noktası 514'te Syslogd ana bilgisayarına 10.92.43.23 günlüğe kaydedildiğini gösterir.

  2. Sunucunuzu TLS şifrelemesi kullanacak şekilde ayarladıysanız, Sistem günlüğü sunucunuz SSL şifrelemesi için yapılandırılmış mı? seçeneğini işaretleyin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL’si girdiğinizden emin olun.

  3. Sistem günlüğü kaydının sonlanmasını seç açılır menüsünden ISO dosyanız için uygun ayarı seçin: Gri Günlük ve Rsyslog TCP için Seç veya Yeni Hat Kullan

    • Boş bayt -- \x00

    • Yeni satır -- \n—Gri Günlük ve Rsyslog TCP için bu seçimi seçin.

  4. Devam Et'e tıklayın.

14

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar’da değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek seçenektir:

app_datasource_connection_pool_maxBoyut: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında Devam ’a tıklayın.

Hizmet hesabı parolalarının kullanım ömrü dokuz aydır. Parolalarınızın süresi dolmak üzere olduğunda veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını Indir’e tıklayın. Dosyayı bulmak kolay bir konuma kaydedin.

17

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın.

Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

18

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmanız veya yapılandırma değişiklikleri yapmanız gerekir. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybedersiniz. Anahtarları PostgreSQL veya Microsoft SQL Server veritabanınızdan kurtarmak mümkün değil.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından sanal bir makine oluşturmak için bu prosedürü kullanın.
1

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Dosya > OVF Şablonunu Dağıt'ı seçin.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından Ileri’ye tıklayın.

4

Ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, “HDS_Node_1”), sanal makine düğümü dağıtımının bulunabileceği bir konum seçin ve ardından Ileri’ye tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından Ileri’ye tıklayın.

Bir doğrulama kontrolü çalışır. Işlem tamamlandıktan sonra şablon ayrıntıları görüntülenir.

6

Şablon ayrıntılarını doğrulayıp Ileri’ye tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU ’ya ve ardından Ileri’ye tıklayın.

8

Depolama alanını seçin sayfasında, varsayılan disk biçimi ve sanal makine depolama politikasını kabul etmek için Ileri ’ye tıklayın.

9

Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

  • Ana bilgisayar adı—FQDN'yi (ana bilgisayar adı ve etki alanı) veya düğüm için tek kelime ana bilgisayar adını girin.

    • Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

    • Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri aşmamalıdır.

  • IP Adresi— Düğümün dahili arayüzünün IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören ağ düğümüdür.
  • DNS Sunucuları—Etki alanı adlarının sayısal IP adreslerine çevrilmesiyle ilgilenen, virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
  • NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağda veya VLAN’da dağıtın, böylece bir kümedeki tüm düğümlere yönetim amaçları doğrultusunda ağınızdaki istemcilerden ulaşılabilir olur.

Tercih edilirse ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm sanal makinesine sağ tıklayın ve ardından Güç > Güç Aç'ı seçin.

Karma Veri Güvenliği yazılımı, sanal makine ana bilgisayarında konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm konteynerleri açılmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk başlatma sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görüntülenir.

Karma Veri Güvenliği VM’sini ayarlayın

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Karma Veri Güvenliği düğümü VM'nizi ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmiyorsa Enter tuşuna basın.
2

Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın:

  1. Oturum Açma: Yönetici

  2. Parola: Cisco

Sanal makinenizde ilk kez oturum açtığınızdan, yönetici parolasını değiştirmeniz gerekir.

3

HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını zaten yapılandırdıysanız bu prosedürün geri kalanını atlayın. Aksi takdirde, ana menüde Yapılandırmayı Düzenle seçeneğini belirleyin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(Isteğe bağlı) Ağ politikanızla eşleşmek için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin.

Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, dosya yalnızca Karma Veri Güvenliği sanal makinelerinin ve değişiklik yapması gerekebilecek yöneticilerin erişim için "bilinmesi gereken" temelinde gösterilmelidir. Yalnızca bu yöneticilerin veri deposuna erişebildiğinden emin olun.

1

Bilgisayarınızdan ISO dosyasını yükleyin:

  1. VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinden Depolama’ya tıklayın.

  3. Veri Depoları listesinde, sanal makinelerinizin veri mağazasına sağ tıklayın ve Veri Mağazasına Gözat'a tıklayın.

  4. Dosya Yükle simgesine ve ardından Dosya Yükle’ye tıklayın.

  5. ISO dosyasını bilgisayarınıza indirdiğiniz konuma gidin ve ’a tıklayın.

  6. Yükleme/indirme işlemi uyarısını kabul etmek için Evet ’e tıklayın ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Kısıtlanmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Sürücü 1'e tıklayın, veri deposu ISO dosyasından bağlanma seçeneğini seçin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Açıldığında bağlan’ı işaretleyin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasının bağlantısını kaldırabilirsiniz. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir Web tarayıcısına HDS düğüm kurulum URL 'sini https://[HDS düğüm IP veya FQDN]/kurulum girin , düğüm için kurduğunuz yönetici kimlik bilgilerini girin ve ardından oturum aç 'a tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok: Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlenmeyen Proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy: Açık proxy ile istemciye hangi proxy sunucusunu kullanacağını (HDS düğümleri) söylersiniz ve bu seçenek birkaç kimlik doğrulama türünü destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve Engellenen Harici DNS Çözünürlük Modunu Kapat bölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev, Karma Veri Güvenliği sanal makinesini ayarla’da oluşturduğunuz genel düğümü alır, düğümü Webex buluta kaydeder ve bir Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

4

Açılan sayfada Kaynak ekle’ye tıklayın.

5

Düğüm ekle kartının ilk alanında, Karma Veri Güvenliği düğümünüzü atamak istediğiniz kümenin adını girin.

Kümeyi, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

Ikinci alanda, düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle ’ye tıklayın.

Bu IP adresi veya FQDN, Karma Veri Güvenliği VM’sini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex’e kaydedebileceğinizi gösteren bir mesaj görünür.
7

Düğüme Git’e tıklayın.

Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

8

Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.
9

Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesinde görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve ardından düğümü kaydetmeniz yeterlidir. En az 3 düğümün olmasını öneririz.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

OVA'dan HDS Ana Bilgisayar OVA'sını Yükleme adımlarını tekrarlayarak yeni bir sanal makine oluşturun.

2

Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinenin ilk yapılandırmasını ayarlayın.

3

Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Montaj bölümündeki adımları tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği şekilde tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com üzerinde, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

  2. Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Tümünü görüntüle’ye tıklayın.

    Karma Veri Güvenliği Kaynakları sayfası açılır.

  3. Yeni oluşturulan küme, Kaynaklar sayfasında görünecektir.

  4. Kümeye atanan düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle ’ye tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekle’ye tıklayın.

    Düğümünüzü Webex buluta kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

  7. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

    Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.

  8. Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

    Eklenen düğüm açılır mesajı da Partner Hub'da ekranın alt kısmında görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Karma Veri Güvenliği’nde Kiracı kuruluşlarını yönet

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirme

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Şirket Içi şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS’den yararlanmaya başlamasını sağlar.

Başlamadan önce

Çok Kiracılı HDS kümenizi gerekli sayıda düğüm ile kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

4

HDS Durumu kartında HDS’yi Etkinleştir ’e tıklayın.

Partner Hub’a kiracı kuruluşları ekle

Bu görevde, müşteri kuruluşlarını Karma Veri Güvenliği Kümenize atayabilirsiniz.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanan müşteriler sekmesine gidin.

6

Müşteri ekle’ye tıklayın.

7

Açılır menüden eklemek istediğiniz müşteriyi seçin.

8

Ekle’ye tıkladığınızda müşteri kümeye eklenir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ’ye tıklayın.

Sonraki işlemler

Kurulum işlemini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma bölümünde açıklanan şekilde HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma

Başlamadan önce

Partner Hub’da kiracı kuruluşları ekle bölümünde ayrıntılı olarak açıklandığı şekilde müşterileri uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlantı kurulduğundan emin olun.
11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK oluştur veya CMK oluştur - Yeni eklenen tüm kuruluşlar için CMK oluşturmak için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve yeni eklenen tüm kuruluşlar için CMK oluşturmak için CMK oluştur ’a tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleme durumunun yanındaki … öğesine tıklayın ve CMK oluştur öğesine tıklayarak o kuruluş için CMK oluşturun.
12

CMK oluşturma başarılı olduktan sonra, tablodaki durum CMK yönetimi beklemede iken CMK yönetimine geçecektir.

13

CMK oluşturma başarısız olursa bir hata görüntülenir.

Kiracı kuruluşlarını kaldır

Başlamadan önce

Kaldırıldıktan sonra, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS’den yararlanamayacak ve mevcut tüm alanları kaybedecektir. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanan Müşteriler’e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğesine ve Kümeden kaldır seçeneğine tıklayın.

Sonraki işlemler

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde açıklandığı şekilde müşteri kuruluşlarının CMK’larını iptal ederek kaldırma işlemini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Kiracı kuruluşlarını kaldır bölümünde açıklanan şekilde müşterileri uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK’yı iptal et veya CMK’yı iptal et - Kaldırılan tüm kuruluşların CMK’larını iptal etmek için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve kaldırılan tüm kuruluşların CMK’larını iptal etmek için CMK’ları iptal et ’e tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilmesi için CMK durumunun yanındaki ... seçeneğine tıklayın ve belirli bir kuruluşun CMK'sını iptal etmek için CMK'yı iptal et seçeneğine tıklayın.
12

CMK iptali başarılı olduktan sonra müşteri kuruluşu artık tabloda görünmez.

13

CMK iptali başarısız olursa bir hata görüntülenir.

Karma Veri Güvenliği dağıtımınızı test edin

Karma Veri Güvenliği Dağıtımınızı Test Etme

Çok Kiracılı Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Karma Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

1

Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve bir alan oluşturun.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra kullanıcıların oluşturduğu alanlardaki içeriğe artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

  1. Önce KMS'de güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION'da filtreleyin:

    Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmış):
    2020-07-21 17:35:34.562 (+0000) BILGI KMS [pool-14-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS’den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:19.889 (+0000) BILGI KMS [pool-14-thread-31] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:21.975 (+0000) BILGI KMS [pool-14-thread-33] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir: 
    2020-07-21 17:44:22.808 (+0000) BILGI KMS [pool-15-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Durumunu Izleme

Partner Hub’daki durum göstergesi, Çok Kiracılı Karma Veri Güvenliği konuşlandırması ile ilgili her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarı için e-posta bildirimlerine kaydolun. Hizmeti etkileyen uyarı veya yazılım yükseltmeleri olduğunda bildirim alacaksınız.
1

Partner Hub’da, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

Karma Veri Güvenliği Ayarları sayfası açılır.
3

E-posta Bildirimleri bölümünde virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönet

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planını Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlayan küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı belirleyebilir veya Amerika Birleşik Devletleri Günlük 15:00 varsayılan planını kullanabilirsiniz: Amerika/Los Angeles. Gerekirse, yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Kur'a tıklayın

4

Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Planı altında yükseltme planı için saat ve saat dilimini seçin.

Not: Saat dilimi altında, bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerekirse 24 saat ertele seçeneğine tıklayarak yükseltmeyi bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama—Eski ve yeni parolaların her ikisi de 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Zorla sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, iş ortağı tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 1.e’de Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker çekme ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker çekme ciscocitg/hds-setup-fedramp:kararlı

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışıyorsa, "Bağlantı noktası 8080'i dinleyen Express sunucusunu" görüntülersiniz.

  6. Localhost'a bağlanmak için tarayıcı kullanın.http://127.0.0.1:8080

    Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

  7. Istendiğinde, Partner Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et ’e tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızca bir HDS düğümü çalışıyorsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha fazla düğüm oluşturma ve kaydetme.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni düğümü Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Karma Veri Güvenliği düğüm arabirimini (IP adresi/kurulum, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve Oturum Aç’a tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğüm Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.
1

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Düğümü kaldır:

  1. Partner Hub’da oturum açın ve ardından Hizmetler’i seçin.

  2. Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle ’ye tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümün kaydını sil 'e tıklayın

  6. Düğümün sağ tarafındaki … öğesine tıklayarak ve Bu düğümü kaldır’ı seçerek de düğümün kaydını silebilirsiniz.

3

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil'e tıklayın.)

Sanal makineyi silmezseniz, yapılandırma ISO dosyasının bağlantısını kaldırmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Karma Veri Güvenliğine atanan her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyeleri, alma yetkisi olan kullanıcılara iade etmekten de sorumludur.

Küme bu anahtarları sağlamanın kritik işlevini yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin sürdürülmesi zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriği GERI ALINAMAZ BIR ŞEKILDE KAYIPINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamalar zorunludur:

Bir felaket, birincil veri merkezindeki HDS dağıtımının kullanılamamasına neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü izleyin.

Başlamadan önce

Düğüm Kaldırma’da belirtildiği gibi Partner Hub’daki tüm düğümlerin kaydını kaldırın. Aşağıda belirtilen yük devretme prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümleri için yapılandırılan en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin.

2

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.

3

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin.

Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

7

Düğümü Partner hub’a kaydedin. Kümedeki ilk düğümü kaydet’e bakın.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Yük devretmeden sonra, birincil veri merkezi tekrar aktif hale gelirse, bekleme veri merkezinin düğümlerinin kaydını kaldırın ve yukarıda belirtildiği gibi ISO'yu yapılandırma ve birincil veri merkezinin düğümlerini kaydetme işlemini tekrarlayın.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldır

Standart HDS yapılandırması, ISO takılı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte etmemeyi tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasının bağlantısını kaldırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenen ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonrasına yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Sunucu Aygıtında HDS düğümünü seçin.

3

Ayarları Düzenle > CD/DVD sürücüsü ’nü seçin ve Datastore ISO Dosyası seçeneğinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika alarm olmadığından emin olun.

5

Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları Görüntüleme ve Sorun Giderme

Karma Veri Güvenliği dağıtımının, kümedeki tüm düğümlere ulaşılamıyorsa veya küme zaman aşımı isteyen çok yavaş çalışıyorsa kullanılamıyor olduğu düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Şunlar için mesajlar ve alan başlıklarının şifresi çözülemiyor:

    • Alana eklenen yeni kullanıcılar (anahtarlar alınamıyor)

    • Yeni istemci kullanan bir alanda bulunan kullanıcılar (anahtarlar alınamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintisi yaşanmasını önlemek için Karma Veri Güvenliği kümenizi düzgün şekilde izlemeniz ve uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumunda bir sorun olduğunda, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Yaygın Sorunlar ve Bunları Çözme Adımları

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmeti erişim hatası.

Düğümlerin Harici bağlantı gereksinimleri bölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut hizmeti kaydının yenilenmesi.

Bulut hizmetlerine kayıt bağlantısı kesildi. Kaydın yenilenmesi devam ediyor.

Bulut hizmeti kaydı sonlandırıldı.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz etkinleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

Bunun en olası nedeni, sertifika CN’sinin yakın zamanda değişmiş olması ve artık ilk kurulum sırasında kullanılan CN’den farklı olmasıdır.

Bulut hizmetleriyle kimlik doğrulanamadı.

Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası süre sonu olup olmadığını kontrol edin.

Yerel keystore dosyası açılamadı.

Yerel anahtar deposu dosyasında bütünlük ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından düzenlendiğini onaylayın.

Ölçümler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizini mevcut değil.

Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarılı bir şekilde bağlandığını doğrulayın.

Eklenen kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı'nı kullanarak yeni eklenen kiracı kuruluşları için CMK oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşlarının CMK’larını iptal ederek kurulumu tamamlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Tüm uyarılar için Partner Hub’ı gözden geçirin ve burada bulduğunuz tüm öğeleri düzeltin. Referans için aşağıdaki resme bakın.

2

Karma Veri Güvenliği dağıtımında etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi kelimeleri filtreleyin.

3

Cisco destek ile iletişime geçin.

Diğer notlar

Karma Veri Güvenliği için Bilinen Sorunlar

  • Karma Veri Güvenliği kümenizi kapatırsanız (Partner Hub’da silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı veya anahtar deposu veritabanına erişimi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Şu anda bu sorun için bir çözüm veya çözümümüz yok ve HDS hizmetleriniz etkin kullanıcı hesaplarını işledikten sonra kapatmamanızı rica ediyoruz.

  • Bir KMS'ye mevcut bir ECDH bağlantısı olan bir istemci, bu bağlantıyı belirli bir süre (muhtemelen bir saat) korur.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yüklemek için uygun biçimde yapmak için kullanılabilen bir araçtır. Bunu yapmanın başka yolları da vardır ve biz bir yoldan diğerine desteklemez veya teşvik etmeyiz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleri'nde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sunuyoruz. Devam etmeden önce bu gereksinimleri anlayın.

  • OpenSSL'yi desteklenen bir ortama yükleyin. Yazılım ve belgeler https://www.openssl.org için bkz.

  • Özel anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

CA'nızdan sunucu sertifikasını aldığınızda, bunu hdsnode.pem olarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

OpenSSL functions

3

hdsnode-bundle.pem adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası, sunucu sertifikasını, herhangi bir ara sertifika yetkilisi sertifikasını ve kök sertifika yetkilisi sertifikalarını aşağıdaki biçimde içermelidir:

-----BEGIN CERTIFICATE------ ### Sunucu sertifikası. ### -----END CERTIFICATE-------- BEGIN CERTIFICATE----- ### Ara CA sertifikası. ### -----END CERTIFICATE------- BEGIN CERTIFICATE-------  ### Kök CA sertifikası. ### -----END CERTIFICATE---------- END CERTIFICATE------

4

.p12 dosyasını kms-private-key adlı dostane adla oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifikası ayrıntılarını kontrol edin.

  1. openssl pkcs12 - in hdsnode.p12

  2. Çıktıda listelenmesi için özel anahtarı şifrelemek üzere istemde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın hatlarını friendlyName: kms-private-key.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12 Içe Aktarma Parolasını Girin: MAC tarafından doğrulanmış Tamam Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Anahtar Öznitelikler:  PEM parolasını girin: Doğrulanıyor - PEM parolayı girin: -----ŞIFRELI ÖZEL ANAHTARI BAŞLAT-----  -----ŞIFRELI ÖZEL ANAHTAR BITIR----- Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE------

Sonraki işlemler

Karma Veri Güvenliği Için Ön Koşulları Tamamlama’ya dönün. HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma bölümünde hdsnode.p12 dosyasını ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika istemek için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut arasındaki trafik

Giden Metrikler Toplama Trafiği

Karma Veri Güvenliği düğümleri, belirli ölçümleri Webex buluta gönderir. Bunlar; yığın maks., kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem metrikleri; senkronize ve asenkron iş parçacıklarındaki metrikler; şifreleme bağlantılarının eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılara ilişkin metrikler; veri deposundaki metrikler ve şifreleme bağlantı metrikleri içerir. Düğümler, şifreli anahtar materyali bant dışı (istekten ayrı) kanal üzerinden gönderir.

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex buluttan aşağıdaki gelen trafik türlerini alır:

  • Istemcilerden gelen ve şifreleme hizmeti tarafından yönlendirilen şifreleme istekleri

  • Düğüm yazılımına yükseltilir

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu bölümler, WSS kimliği 'nin çeşitli sürümlerinin WSS 'yi yoksayması hakkında rehberlik verir : hizmetlerinin düzgün çalışması için trafik.

SQUID 4 ve 5

on_unsupported_protocol Yönergeyi squid.conf’a ekleyin:

on_unsupported_protocol tünel tümü

Squid 3.5.27

Squid. conf dosyasına eklenen aşağıdaki kurallarla karma veri güvenliğini başarıyla test ettik . Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex cıva-bağlantı ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump göz atma step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tabloda yeni özellikler veya işlevler, mevcut içerikte yapılan değişiklikler ve Çok Kiracılı Karma Veri Güvenliği için Dağıtım Kılavuzu’nda düzeltilen tüm büyük hatalar ele alınmaktadır.

Tarih

Değişiklikler yapıldı

30 Ocak 2025

Veritabanı sunucusu gereksinimleri bölümünde desteklenen SQL sunucularının listesine SQL sunucusu 2022 sürümü eklendi.

15 Ocak 2025

Çok Kiracılı Karma Veri Güvenliği Sınırlamaları eklendi.

08 Ocak 2025

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin ’e, Partner Hub’daki HDS kartında Kur ’a tıklandığında yükleme işleminin önemli bir adımı olduğunu belirten bir not eklendi.

07 Ocak 2025

Yeni ESXi 7.0 gereksinimini göstermek için Sanal Toplantı Sahibi Gereksinimleri, Karma Veri Güvenliği Dağıtım Görev Akışı ve HDS Ana Bilgisayar OVA'sını Yükle güncellendi.

13 Aralık 2024

Ilk yayınlandı.

Çok Kiracılı Karma Veri Güvenliğini Devre Dışı Bırak

Çok Kiracılı HDS Devre Dışı Bırakma Görev Akışı

Çok Kiracılı HDS’yi tamamen devre dışı bırakmak için bu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Iş Ortağı tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldır’da belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde belirtildiği gibi tüm müşterilerin CMK’larını iptal edin.

3

Düğüm Kaldır’da belirtildiği gibi tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub’dan tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil ’i seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldır’ı seçin.
5

Karma Veri Güvenliğine genel bakış sayfasındaki Ayarlar sekmesine tıklayın ve HDS Durum kartında HDS’yi Devre Dışı Bırak ’a tıklayın.

Çok Kiracılı Karma Veri Güvenliği’ni kullanmaya başlayın

Çok Kiracılı Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Karma Veri Güvenliği , kuruluşların hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifrelemeyi ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel iş ortağı aracılığıyla HDS'den yararlanmasını sağlar. Bu kurulum, iş ortağı kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin harici erişime karşı güvenli olmasını sağlar. Iş ortağı kuruluşlar, HDS örneklerini kurar ve gerektiğinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine birden fazla müşteri kuruluşunu destekleyebilir.

Iş ortağı kuruluşların dağıtım ve yönetim üzerinde kontrolü olsa da, müşteriler tarafından oluşturulan verilere ve içeriğe erişimi yoktur. Bu erişim, müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Veri merkezleri gibi Anahtar yönetim hizmeti ve güvenlik altyapısı güvenilir yerel iş ortağına ait olduğundan bu, daha küçük kuruluşların HDS’den yararlanmasına da olanak tanır.

Çok Kiracılı Karma Veri Güvenliği, veri egemenliği ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerikler, bulut hizmeti sağlayıcıları gibi harici erişime karşı korunur.
  • Yerel güvenilir iş ortakları, önceden kurulmuş ilişkileri olan müşterilerin şifreleme anahtarlarını yönetir.
  • Iş ortağı tarafından belirtildiyse yerel teknik destek seçeneği.
  • Toplantılar, Mesajlaşma ve Arama içeriğini destekler.

Bu belge, iş ortağı kuruluşlarının Çok Kiracılı Karma Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmayı amaçlamaktadır.

Çok Kiracılı Karma Veri Güvenliği Sınırlamaları

  • Iş ortağı kuruluşlarının Control Hub’da etkin bir HDS dağıtımı olmamalıdır.
  • Bir iş ortağı tarafından yönetilmek isteyen kiracı veya müşteri kuruluşlarının Control Hub’da mevcut bir HDS dağıtımı olmamalıdır.
  • Çok Kiracılı HDS iş ortağı tarafından dağıtıldıktan sonra, müşteri kuruluşlarının ve iş ortağı kuruluşunun kullanıcıları şifreleme hizmetleri için Çok Kiracılı HDS'den yararlanmaya başlar.

    Yönettikleri iş ortağı kuruluş ve müşteri kuruluşları aynı Çok Kiracılı HDS dağıtımında olacak.

    Çok Kiracılı HDS dağıtıldıktan sonra iş ortağı kuruluş artık bulut KMS’sini kullanmayacak.

  • Bir HDS dağıtımından sonra anahtarları Bulut KMS'ye geri taşımak için bir mekanizma yoktur.
  • Şu anda her Çok Kiracılı HDS dağıtımında yalnızca bir küme bulunabilir ve altında birden fazla düğüm bulunabilir.
  • Yönetici rollerinin belirli sınırlamaları vardır; ayrıntılar için aşağıdaki bölüme bakın.

Çok Kiracılı Karma Veri Güvenliğinde Roller

  • Iş Ortağı tam Yönetici - Iş ortağının yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Iş ortağı yönetici - Yöneticinin sağladığı veya kullanıcıya atanmış olan müşterilerin ayarlarını yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yerine getirme yetkisi olan iş ortağı kuruluşun yöneticisidir.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Iş ortağı tam yönetici ve Tam yönetici hakları gereklidir.
  • Atanan kiracı kuruluşlarının yönetimi - Iş ortağı yöneticisi ve Tam yönetici hakları gereklidir.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

  1. Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.

  2. Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.

  3. Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.

  4. Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Çok Kiracılı Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli bir taahhüt ve şifreleme anahtarlarına sahip olmanın riskleri hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

  • Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.

  • Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst düzey Kurulum süreci

Bu belgede, Çok Kiracılı Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

  • Karma Veri Güvenliğini Ayarlama—Buna, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımının yüklenmesi, bir HDS kümesi oluşturma, kümeye kiracı kuruluşları ekleme ve Müşteri Ana Anahtarlarını (CMK'lar) yönetme dahildir. Bu, müşteri kuruluşlarınızın tüm kullanıcılarının güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmasını sağlar.

    Kurulum, etkinleştirme ve yönetim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınır.

  • Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Partner Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarıları ayarlayabilirsiniz.

  • Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Partner Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Yük Devretme

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Karma Veri Güvenliğini dağıtmak için:

  • Iş Ortağı Kuruluşlar: Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Kuruluşları: Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı

Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.

  • Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır

  • Joker karakter sertifikası değil

CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz. Örneğin, hds.company.com.

CN, bir * (joker karakter) içermemelidir.

CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar.

Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı PKCS #12 dosyası olarak biçimlendirildi

  • Sertifikayı, özel anahtarı ve yüklemek için tüm ara sertifikaları etiketlemek için kms-private-key kolay adını kullanın.

Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)

  • VMware ESXi 7.0 (veya sonraki sürümleri) yüklendi ve çalışıyor.

    ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

posix_times

SQL Sunucusu

  • PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.

  • SQL Server 2016, 2017, 2019 veya 2022 (Kurumsal veya Standart) yüklendi.

    SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.

  • HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yön

Hedef

Karma Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Common Identity toplantı sahipleri

  • Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Common Identity toplantı sahipleri

  • hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa (incelenirken) wbx2.com ve ciscospark.com 'a olan trafik atlanarak sorun çözülmeyecektir.

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Iş ortağı kuruluşunuzda Çok Kiracılı HDS özelliğinin etkin olduğundan emin olun ve iş ortağı tam yönetici ve tam yönetici hakları olan bir hesabın kimlik bilgilerini alın. Webex müşteri kuruluşunuzun, Cisco Webex Control Hub için Pro Pack’e etkinleştirildiğinden emin olun. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşları mevcut HDS dağıtımına sahip olmamalıdır.

2

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.

3

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.

4

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir.

  1. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

6

Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).

7

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

8

Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin.

Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.

10

Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği kümesi ayarla

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

OVA dosyasını daha sonra kullanılmak üzere yerel makinenize indirin.

2

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Karma Veri Güvenliği VM’sini ayarlayın

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

VM'yi, HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirin.

HDS’yi etkinleştirin ve Partner Hub’da kiracı kuruluşlarını yönetin.

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

Bu görevde, bir OVA dosyasını makinenize (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil) indirirsiniz. Bu dosyayı daha sonra yükleme işleminde kullanırsınız.

1

Partner Hub’da oturum açın ve ardından Hizmetler’e tıklayın.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

Partner Hub’da Kur ’a tıklamak, dağıtım işlemi için önemlidir. Bu adımı tamamlamadan yükleme işlemine devam etmeyin.

3

Kaynak ekle ’ye ve Yazılımı Yükle ve Yapılandır kartında .OVA dosyasını indir ’e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden de indirebilirsiniz. Ayarlar > Yardım > Karma Veri Güvenliği yazılımını indir’e tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizdeki bir konuma kaydedin.
4

Isteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Karma veri güvenliği dağıtım kılavuzuna göz atın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında şu seçeneklere sahipsiniz:

  • Hayır: Ilk HDS düğümünüzü oluşturuyorsanız yüklenecek bir ISO dosyanız yoktur.
  • Evet: Daha önce HDS düğümleri oluşturduysanız, göz atmada ISO dosyanızı seçin ve yükleyin.
10

X.509 sertifikanızın, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşıladığından emin olun.

  • Daha önce hiç bir sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam’a tıklayın.
  • Sertifikanız tamam ise Devam’a tıklayın.
  • Sertifikanızın süresi dolmuşsa veya sertifikayı değiştirmek istiyorsanız Önceki ISO’dan HDS sertifika zincirini ve özel anahtarı kullanmaya devam et? için Hayır’ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam’a tıklayın.
11

Anahtar veri deponuza erişmek üzere HDS’nin veritabanı adresini ve hesabını girin:

  1. Veritabanı Türü (PostgreSQL veya Microsoft SQL Server) öğesini seçin.

    Microsoft SQL Server'ı seçerseniz, Kimlik Doğrulama Türü alanına sahip olursunuz.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzü seçin:

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesabı adına ihtiyacınız vardır.

    • Windows Kimlik Doğrulaması: Kullanıcı adı alanında kullanıcıadı@DOMAIN biçiminde bir Windows hesabına ihtiyacınız vardır.

  3. Veritabanı sunucusu adresini : veya : biçiminde girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulaması kullanıyorsanız dbhost.example.org:1433 biçiminde Tam Etki Alanı Adı girmelisiniz

  4. Veritabanı Adı’nı girin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adı ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modu’nu seçin:

Mode

Açıklama

TLS'yi Tercih Etme (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca, sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam'a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısı kurabilir.)

13

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

  1. Sistem günlüğü sunucusu URL'sini girin.

    Sunucu HDS kümeniz için düğümlerden DNS ile çözümlenebilir değilse URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 , UDP bağlantı noktası 514'te Syslogd ana bilgisayarına 10.92.43.23 günlüğe kaydedildiğini gösterir.

  2. Sunucunuzu TLS şifrelemesi kullanacak şekilde ayarladıysanız, Sistem günlüğü sunucunuz SSL şifrelemesi için yapılandırılmış mı? seçeneğini işaretleyin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL’si girdiğinizden emin olun.

  3. Sistem günlüğü kaydının sonlanmasını seç açılır menüsünden ISO dosyanız için uygun ayarı seçin: Gri Günlük ve Rsyslog TCP için Seç veya Yeni Hat Kullan

    • Boş bayt -- \x00

    • Yeni satır -- \n—Gri Günlük ve Rsyslog TCP için bu seçimi seçin.

  4. Devam Et'e tıklayın.

14

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar’da değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek seçenektir:

app_datasource_connection_pool_maxBoyut: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında Devam ’a tıklayın.

Hizmet hesabı parolalarının kullanım ömrü dokuz aydır. Parolalarınızın süresi dolmak üzere olduğunda veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını Indir’e tıklayın. Dosyayı bulmak kolay bir konuma kaydedin.

17

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın.

Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

18

Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmanız veya yapılandırma değişiklikleri yapmanız gerekir. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybedersiniz. Anahtarları PostgreSQL veya Microsoft SQL Server veritabanınızdan kurtarmak mümkün değil.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından sanal bir makine oluşturmak için bu prosedürü kullanın.
1

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Dosya > OVF Şablonunu Dağıt'ı seçin.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından Ileri’ye tıklayın.

4

Ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, “HDS_Node_1”), sanal makine düğümü dağıtımının bulunabileceği bir konum seçin ve ardından Ileri’ye tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından Ileri’ye tıklayın.

Bir doğrulama kontrolü çalışır. Işlem tamamlandıktan sonra şablon ayrıntıları görüntülenir.

6

Şablon ayrıntılarını doğrulayıp Ileri’ye tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU ’ya ve ardından Ileri’ye tıklayın.

8

Depolama alanını seçin sayfasında, varsayılan disk biçimi ve sanal makine depolama politikasını kabul etmek için Ileri ’ye tıklayın.

9

Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

  • Ana bilgisayar adı—FQDN'yi (ana bilgisayar adı ve etki alanı) veya düğüm için tek kelime ana bilgisayar adını girin.

    • Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

    • Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri aşmamalıdır.

  • IP Adresi— Düğümün dahili arayüzünün IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören ağ düğümüdür.
  • DNS Sunucuları—Etki alanı adlarının sayısal IP adreslerine çevrilmesiyle ilgilenen, virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
  • NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağda veya VLAN’da dağıtın, böylece bir kümedeki tüm düğümlere yönetim amaçları doğrultusunda ağınızdaki istemcilerden ulaşılabilir olur.

Tercih edilirse ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm sanal makinesine sağ tıklayın ve ardından Güç > Güç Aç'ı seçin.

Karma Veri Güvenliği yazılımı, sanal makine ana bilgisayarında konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm konteynerleri açılmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk başlatma sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görüntülenir.

Karma Veri Güvenliği VM’sini ayarlayın

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Karma Veri Güvenliği düğümü VM'nizi ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmiyorsa Enter tuşuna basın.
2

Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın:

  1. Oturum Açma: Yönetici

  2. Parola: Cisco

Sanal makinenizde ilk kez oturum açtığınızdan, yönetici parolasını değiştirmeniz gerekir.

3

HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını zaten yapılandırdıysanız bu prosedürün geri kalanını atlayın. Aksi takdirde, ana menüde Yapılandırmayı Düzenle seçeneğini belirleyin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(Isteğe bağlı) Ağ politikanızla eşleşmek için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin.

Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, dosya yalnızca Karma Veri Güvenliği sanal makinelerinin ve değişiklik yapması gerekebilecek yöneticilerin erişim için "bilinmesi gereken" temelinde gösterilmelidir. Yalnızca bu yöneticilerin veri deposuna erişebildiğinden emin olun.

1

Bilgisayarınızdan ISO dosyasını yükleyin:

  1. VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinden Depolama’ya tıklayın.

  3. Veri Depoları listesinde, sanal makinelerinizin veri mağazasına sağ tıklayın ve Veri Mağazasına Gözat'a tıklayın.

  4. Dosya Yükle simgesine ve ardından Dosya Yükle’ye tıklayın.

  5. ISO dosyasını bilgisayarınıza indirdiğiniz konuma gidin ve ’a tıklayın.

  6. Yükleme/indirme işlemi uyarısını kabul etmek için Evet ’e tıklayın ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Kısıtlanmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Sürücü 1'e tıklayın, veri deposu ISO dosyasından bağlanma seçeneğini seçin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Açıldığında bağlan’ı işaretleyin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasının bağlantısını kaldırabilirsiniz. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir Web tarayıcısına HDS düğüm kurulum URL 'sini https://[HDS düğüm IP veya FQDN]/kurulum girin , düğüm için kurduğunuz yönetici kimlik bilgilerini girin ve ardından oturum aç 'a tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok: Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlenmeyen Proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy: Açık proxy ile istemciye hangi proxy sunucusunu kullanacağını (HDS düğümleri) söylersiniz ve bu seçenek birkaç kimlik doğrulama türünü destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve Engellenen Harici DNS Çözünürlük Modunu Kapat bölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev, Karma Veri Güvenliği sanal makinesini ayarla’da oluşturduğunuz genel düğümü alır, düğümü Webex buluta kaydeder ve bir Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

4

Açılan sayfada Kaynak ekle’ye tıklayın.

5

Düğüm ekle kartının ilk alanında, Karma Veri Güvenliği düğümünüzü atamak istediğiniz kümenin adını girin.

Kümeyi, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

Ikinci alanda, düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle ’ye tıklayın.

Bu IP adresi veya FQDN, Karma Veri Güvenliği VM’sini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex’e kaydedebileceğinizi gösteren bir mesaj görünür.
7

Düğüme Git’e tıklayın.

Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

8

Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.
9

Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesinde görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve ardından düğümü kaydetmeniz yeterlidir. En az 3 düğümün olmasını öneririz.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

OVA'dan HDS Ana Bilgisayar OVA'sını Yükleme adımlarını tekrarlayarak yeni bir sanal makine oluşturun.

2

Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinenin ilk yapılandırmasını ayarlayın.

3

Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Montaj bölümündeki adımları tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği şekilde tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com üzerinde, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

  2. Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Tümünü görüntüle’ye tıklayın.

    Karma Veri Güvenliği Kaynakları sayfası açılır.

  3. Yeni oluşturulan küme, Kaynaklar sayfasında görünecektir.

  4. Kümeye atanan düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle ’ye tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekle’ye tıklayın.

    Düğümünüzü Webex buluta kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

  7. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

    Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.

  8. Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

    Eklenen düğüm açılır mesajı da Partner Hub'da ekranın alt kısmında görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Karma Veri Güvenliği’nde Kiracı kuruluşlarını yönet

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirme

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Şirket Içi şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS’den yararlanmaya başlamasını sağlar.

Başlamadan önce

Çok Kiracılı HDS kümenizi gerekli sayıda düğüm ile kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

4

HDS Durumu kartında HDS’yi Etkinleştir ’e tıklayın.

Partner Hub’a kiracı kuruluşları ekle

Bu görevde, müşteri kuruluşlarını Karma Veri Güvenliği Kümenize atayabilirsiniz.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanan müşteriler sekmesine gidin.

6

Müşteri ekle’ye tıklayın.

7

Açılır menüden eklemek istediğiniz müşteriyi seçin.

8

Ekle’ye tıkladığınızda müşteri kümeye eklenir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ’ye tıklayın.

Sonraki işlemler

Kurulum işlemini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma bölümünde açıklanan şekilde HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma

Başlamadan önce

Partner Hub’da kiracı kuruluşları ekle bölümünde ayrıntılı olarak açıklandığı şekilde müşterileri uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlantı kurulduğundan emin olun.
11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK oluştur veya CMK oluştur - Yeni eklenen tüm kuruluşlar için CMK oluşturmak için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve yeni eklenen tüm kuruluşlar için CMK oluşturmak için CMK oluştur ’a tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleme durumunun yanındaki … öğesine tıklayın ve CMK oluştur öğesine tıklayarak o kuruluş için CMK oluşturun.
12

CMK oluşturma başarılı olduktan sonra, tablodaki durum CMK yönetimi beklemede iken CMK yönetimine geçecektir.

13

CMK oluşturma başarısız olursa bir hata görüntülenir.

Kiracı kuruluşlarını kaldır

Başlamadan önce

Kaldırıldıktan sonra, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS’den yararlanamayacak ve mevcut tüm alanları kaybedecektir. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanan Müşteriler’e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğesine ve Kümeden kaldır seçeneğine tıklayın.

Sonraki işlemler

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde açıklandığı şekilde müşteri kuruluşlarının CMK’larını iptal ederek kaldırma işlemini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Kiracı kuruluşlarını kaldır bölümünde açıklanan şekilde müşterileri uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker çekme ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker çekme ciscocitg/hds-setup-fedramp:kararlı
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK’yı iptal et veya CMK’yı iptal et - Kaldırılan tüm kuruluşların CMK’larını iptal etmek için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve kaldırılan tüm kuruluşların CMK’larını iptal etmek için CMK’ları iptal et ’e tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilmesi için CMK durumunun yanındaki ... seçeneğine tıklayın ve belirli bir kuruluşun CMK'sını iptal etmek için CMK'yı iptal et seçeneğine tıklayın.
12

CMK iptali başarılı olduktan sonra müşteri kuruluşu artık tabloda görünmez.

13

CMK iptali başarısız olursa bir hata görüntülenir.

Karma Veri Güvenliği dağıtımınızı test edin

Karma Veri Güvenliği Dağıtımınızı Test Etme

Çok Kiracılı Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Karma Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

1

Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve bir alan oluşturun.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra kullanıcıların oluşturduğu alanlardaki içeriğe artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

  1. Önce KMS'de güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION'da filtreleyin:

    Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmış):
    2020-07-21 17:35:34.562 (+0000) BILGI KMS [pool-14-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS’den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:19.889 (+0000) BILGI KMS [pool-14-thread-31] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:21.975 (+0000) BILGI KMS [pool-14-thread-33] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Bir alan veya başka bir korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION seçeneklerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir: 
    2020-07-21 17:44:22.808 (+0000) BILGI KMS [pool-15-thread-1] - [KMS:REQUEST] alındı, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Durumunu Izleme

Partner Hub’daki durum göstergesi, Çok Kiracılı Karma Veri Güvenliği konuşlandırması ile ilgili her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarı için e-posta bildirimlerine kaydolun. Hizmeti etkileyen uyarı veya yazılım yükseltmeleri olduğunda bildirim alacaksınız.
1

Partner Hub’da, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

Karma Veri Güvenliği Ayarları sayfası açılır.
3

E-posta Bildirimleri bölümünde virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönet

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planını Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlayan küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı belirleyebilir veya Amerika Birleşik Devletleri Günlük 15:00 varsayılan planını kullanabilirsiniz: Amerika/Los Angeles. Gerekirse, yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Kur'a tıklayın

4

Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Planı altında yükseltme planı için saat ve saat dilimini seçin.

Not: Saat dilimi altında, bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerekirse 24 saat ertele seçeneğine tıklayarak yükseltmeyi bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama—Eski ve yeni parolaların her ikisi de 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Zorla sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, iş ortağı tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 1.e’de Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://SERVER_IP:BAĞLANTI NOKTASI

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_TEMSILCI_HTTP_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_TEMSILCI_HTTPS_PROXY=http://KULLANICIADI:PAROLA@SUNUCU_IP:BAĞLANTI NOKTASI

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker çekme ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker çekme ciscocitg/hds-setup-fedramp:kararlı

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışıyorsa, "Bağlantı noktası 8080'i dinleyen Express sunucusunu" görüntülersiniz.

  6. Localhost'a bağlanmak için tarayıcı kullanın.http://127.0.0.1:8080

    Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

  7. Istendiğinde, Partner Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et ’e tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+C tuşlarına basın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızca bir HDS düğümü çalışıyorsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha fazla düğüm oluşturma ve kaydetme.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni düğümü Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Sürücü 1 seçeneğine tıklayın, ISO dosyasından yükleme seçeneğini seçin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma girin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Karma Veri Güvenliği düğüm arabirimini (IP adresi/kurulum, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve Oturum Aç’a tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğüm Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.
1

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Düğümü kaldır:

  1. Partner Hub’da oturum açın ve ardından Hizmetler’i seçin.

  2. Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle ’ye tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümün kaydını sil 'e tıklayın

  6. Düğümün sağ tarafındaki … öğesine tıklayarak ve Bu düğümü kaldır’ı seçerek de düğümün kaydını silebilirsiniz.

3

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil'e tıklayın.)

Sanal makineyi silmezseniz, yapılandırma ISO dosyasının bağlantısını kaldırmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Karma Veri Güvenliğine atanan her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyeleri, alma yetkisi olan kullanıcılara iade etmekten de sorumludur.

Küme bu anahtarları sağlamanın kritik işlevini yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin sürdürülmesi zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriği GERI ALINAMAZ BIR ŞEKILDE KAYIPINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamalar zorunludur:

Bir felaket, birincil veri merkezindeki HDS dağıtımının kullanılamamasına neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü izleyin.

Başlamadan önce

Düğüm Kaldırma’da belirtildiği gibi Partner Hub’daki tüm düğümlerin kaydını kaldırın. Aşağıda belirtilen yük devretme prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümleri için yapılandırılan en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin.

2

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.

3

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin.

Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

7

Düğümü Partner hub’a kaydedin. Kümedeki ilk düğümü kaydet’e bakın.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Yük devretmeden sonra, birincil veri merkezi tekrar aktif hale gelirse, bekleme veri merkezinin düğümlerinin kaydını kaldırın ve yukarıda belirtildiği gibi ISO'yu yapılandırma ve birincil veri merkezinin düğümlerini kaydetme işlemini tekrarlayın.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldır

Standart HDS yapılandırması, ISO takılı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte etmemeyi tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasının bağlantısını kaldırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenen ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonrasına yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Sunucu Aygıtında HDS düğümünü seçin.

3

Ayarları Düzenle > CD/DVD sürücüsü ’nü seçin ve Datastore ISO Dosyası seçeneğinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika alarm olmadığından emin olun.

5

Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları Görüntüleme ve Sorun Giderme

Karma Veri Güvenliği dağıtımının, kümedeki tüm düğümlere ulaşılamıyorsa veya küme zaman aşımı isteyen çok yavaş çalışıyorsa kullanılamıyor olduğu düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Şunlar için mesajlar ve alan başlıklarının şifresi çözülemiyor:

    • Alana eklenen yeni kullanıcılar (anahtarlar alınamıyor)

    • Yeni istemci kullanan bir alanda bulunan kullanıcılar (anahtarlar alınamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintisi yaşanmasını önlemek için Karma Veri Güvenliği kümenizi düzgün şekilde izlemeniz ve uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumunda bir sorun olduğunda, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Yaygın Sorunlar ve Bunları Çözme Adımları

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmeti erişim hatası.

Düğümlerin Harici bağlantı gereksinimleri bölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut hizmeti kaydının yenilenmesi.

Bulut hizmetlerine kayıt bağlantısı kesildi. Kaydın yenilenmesi devam ediyor.

Bulut hizmeti kaydı sonlandırıldı.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz etkinleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

Bunun en olası nedeni, sertifika CN’sinin yakın zamanda değişmiş olması ve artık ilk kurulum sırasında kullanılan CN’den farklı olmasıdır.

Bulut hizmetleriyle kimlik doğrulanamadı.

Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası süre sonu olup olmadığını kontrol edin.

Yerel keystore dosyası açılamadı.

Yerel anahtar deposu dosyasında bütünlük ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından düzenlendiğini onaylayın.

Ölçümler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizini mevcut değil.

Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarılı bir şekilde bağlandığını doğrulayın.

Eklenen kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı'nı kullanarak yeni eklenen kiracı kuruluşları için CMK oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşlarının CMK’larını iptal ederek kurulumu tamamlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Tüm uyarılar için Partner Hub’ı gözden geçirin ve burada bulduğunuz tüm öğeleri düzeltin. Referans için aşağıdaki resme bakın.

2

Karma Veri Güvenliği dağıtımında etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi kelimeleri filtreleyin.

3

Cisco destek ile iletişime geçin.

Diğer notlar

Karma Veri Güvenliği için Bilinen Sorunlar

  • Karma Veri Güvenliği kümenizi kapatırsanız (Partner Hub’da silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı veya anahtar deposu veritabanına erişimi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Şu anda bu sorun için bir çözüm veya çözümümüz yok ve HDS hizmetleriniz etkin kullanıcı hesaplarını işledikten sonra kapatmamanızı rica ediyoruz.

  • Bir KMS'ye mevcut bir ECDH bağlantısı olan bir istemci, bu bağlantıyı belirli bir süre (muhtemelen bir saat) korur.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yüklemek için uygun biçimde yapmak için kullanılabilen bir araçtır. Bunu yapmanın başka yolları da vardır ve biz bir yoldan diğerine desteklemez veya teşvik etmeyiz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleri'nde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sunuyoruz. Devam etmeden önce bu gereksinimleri anlayın.

  • OpenSSL'yi desteklenen bir ortama yükleyin. Yazılım ve belgeler https://www.openssl.org için bkz.

  • Özel anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

CA'nızdan sunucu sertifikasını aldığınızda, bunu hdsnode.pem olarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

OpenSSL functions

3

hdsnode-bundle.pem adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası, sunucu sertifikasını, herhangi bir ara sertifika yetkilisi sertifikasını ve kök sertifika yetkilisi sertifikalarını aşağıdaki biçimde içermelidir:

-----BEGIN CERTIFICATE------ ### Sunucu sertifikası. ### -----END CERTIFICATE-------- BEGIN CERTIFICATE----- ### Ara CA sertifikası. ### -----END CERTIFICATE------- BEGIN CERTIFICATE-------  ### Kök CA sertifikası. ### -----END CERTIFICATE---------- END CERTIFICATE------

4

.p12 dosyasını kms-private-key adlı dostane adla oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifikası ayrıntılarını kontrol edin.

  1. openssl pkcs12 - in hdsnode.p12

  2. Çıktıda listelenmesi için özel anahtarı şifrelemek üzere istemde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın hatlarını friendlyName: kms-private-key.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12 Içe Aktarma Parolasını Girin: MAC tarafından doğrulanmış Tamam Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Anahtar Öznitelikler:  PEM parolasını girin: Doğrulanıyor - PEM parolayı girin: -----ŞIFRELI ÖZEL ANAHTARI BAŞLAT-----  -----ŞIFRELI ÖZEL ANAHTAR BITIR----- Çanta Öznitelikleri friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE------

Sonraki işlemler

Karma Veri Güvenliği Için Ön Koşulları Tamamlama’ya dönün. HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma bölümünde hdsnode.p12 dosyasını ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika istemek için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut arasındaki trafik

Giden Metrikler Toplama Trafiği

Karma Veri Güvenliği düğümleri, belirli ölçümleri Webex buluta gönderir. Bunlar; yığın maks., kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem metrikleri; senkronize ve asenkron iş parçacıklarındaki metrikler; şifreleme bağlantılarının eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılara ilişkin metrikler; veri deposundaki metrikler ve şifreleme bağlantı metrikleri içerir. Düğümler, şifreli anahtar materyali bant dışı (istekten ayrı) kanal üzerinden gönderir.

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex buluttan aşağıdaki gelen trafik türlerini alır:

  • Istemcilerden gelen ve şifreleme hizmeti tarafından yönlendirilen şifreleme istekleri

  • Düğüm yazılımına yükseltilir

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu bölümler, WSS kimliği 'nin çeşitli sürümlerinin WSS 'yi yoksayması hakkında rehberlik verir : hizmetlerinin düzgün çalışması için trafik.

SQUID 4 ve 5

on_unsupported_protocol Yönergeyi squid.conf’a ekleyin:

on_unsupported_protocol tünel tümü

Squid 3.5.27

Squid. conf dosyasına eklenen aşağıdaki kurallarla karma veri güvenliğini başarıyla test ettik . Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex cıva-bağlantı ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump göz atma step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tabloda yeni özellikler veya işlevler, mevcut içerikte yapılan değişiklikler ve Çok Kiracılı Karma Veri Güvenliği için Dağıtım Kılavuzu’nda düzeltilen tüm büyük hatalar ele alınmaktadır.

Tarih

Değişiklikler yapıldı

04 Mart 2025

30 Ocak 2025

Veritabanı sunucusu gereksinimleri bölümünde desteklenen SQL sunucularının listesine SQL sunucusu 2022 sürümü eklendi.

15 Ocak 2025

Çok Kiracılı Karma Veri Güvenliği Sınırlamaları eklendi.

08 Ocak 2025

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin ’e, Partner Hub’daki HDS kartında Kur ’a tıklandığında yükleme işleminin önemli bir adımı olduğunu belirten bir not eklendi.

07 Ocak 2025

Yeni ESXi 7.0 gereksinimini göstermek için Sanal Toplantı Sahibi Gereksinimleri, Karma Veri Güvenliği Dağıtım Görev Akışı ve HDS Ana Bilgisayar OVA'sını Yükle güncellendi.

13 Aralık 2024

Ilk yayınlandı.

Çok Kiracılı Karma Veri Güvenliğini Devre Dışı Bırak

Çok Kiracılı HDS Devre Dışı Bırakma Görev Akışı

Çok Kiracılı HDS’yi tamamen devre dışı bırakmak için bu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Iş Ortağı tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldır’da belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde belirtildiği gibi tüm müşterilerin CMK’larını iptal edin.

3

Düğüm Kaldır’da belirtildiği gibi tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub’dan tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil ’i seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldır’ı seçin.
5

Karma Veri Güvenliğine genel bakış sayfasındaki Ayarlar sekmesine tıklayın ve HDS Durum kartında HDS’yi Devre Dışı Bırak ’a tıklayın.

Çok Kiracılı Karma Veri Güvenliği’ni kullanmaya başlayın

Çok Kiracılı Karma Veri Güvenliğine Genel Bakış

Veri güvenliği, ilk günden itibaren Webex Uygulamasının tasarlanmasına yönelik ana odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulaması istemcileri tarafından Anahtar Yönetim Hizmeti (KMS) ile etkileşime geçen uçtan uca içerik şifrelemedir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak tüm Webex Uygulaması müşterileri Cisco’nun güvenlik alanındaki bulut KMS’de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Karma Veri Güvenliği , kuruluşların hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifrelemeyi ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel iş ortağı aracılığıyla HDS'den yararlanmasını sağlar. Bu kurulum, iş ortağı kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin harici erişime karşı güvenli olmasını sağlar. Iş ortağı kuruluşlar, HDS örneklerini kurar ve gerektiğinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine birden fazla müşteri kuruluşunu destekleyebilir.

Iş ortağı kuruluşların dağıtım ve yönetim üzerinde kontrolü olsa da, müşteriler tarafından oluşturulan verilere ve içeriğe erişimi yoktur. Bu erişim, müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Veri merkezleri gibi Anahtar yönetim hizmeti ve güvenlik altyapısı güvenilir yerel iş ortağına ait olduğundan bu, daha küçük kuruluşların HDS’den yararlanmasına da olanak tanır.

Çok Kiracılı Karma Veri Güvenliği, veri egemenliği ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerikler, bulut hizmeti sağlayıcıları gibi harici erişime karşı korunur.
  • Yerel güvenilir iş ortakları, önceden kurulmuş ilişkileri olan müşterilerin şifreleme anahtarlarını yönetir.
  • Iş ortağı tarafından belirtildiyse yerel teknik destek seçeneği.
  • Toplantılar, Mesajlaşma ve Arama içeriğini destekler.

Bu belge, iş ortağı kuruluşlarının Çok Kiracılı Karma Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmayı amaçlamaktadır.

Çok Kiracılı Karma Veri Güvenliği Sınırlamaları

  • Iş ortağı kuruluşlarının Control Hub’da etkin bir HDS dağıtımı olmamalıdır.
  • Bir iş ortağı tarafından yönetilmek isteyen kiracı veya müşteri kuruluşlarının Control Hub’da mevcut bir HDS dağıtımı olmamalıdır.
  • Çok Kiracılı HDS iş ortağı tarafından dağıtıldıktan sonra, müşteri kuruluşlarının ve iş ortağı kuruluşunun kullanıcıları şifreleme hizmetleri için Çok Kiracılı HDS'den yararlanmaya başlar.

    Yönettikleri iş ortağı kuruluş ve müşteri kuruluşları aynı Çok Kiracılı HDS dağıtımında olacak.

    Çok Kiracılı HDS dağıtıldıktan sonra iş ortağı kuruluş artık bulut KMS’sini kullanmayacak.

  • Bir HDS dağıtımından sonra anahtarları Bulut KMS'ye geri taşımak için bir mekanizma yoktur.
  • Şu anda her Çok Kiracılı HDS dağıtımında yalnızca bir küme bulunabilir ve altında birden fazla düğüm bulunabilir.
  • Yönetici rollerinin belirli sınırlamaları vardır; ayrıntılar için aşağıdaki bölüme bakın.

Çok Kiracılı Karma Veri Güvenliğinde Roller

  • Iş Ortağı tam Yönetici - Iş ortağının yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Iş ortağı yönetici - Yöneticinin sağladığı veya kullanıcıya atanmış olan müşterilerin ayarlarını yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yerine getirme yetkisi olan iş ortağı kuruluşun yöneticisidir.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Iş ortağı tam yönetici ve Tam yönetici hakları gereklidir.
  • Atanan kiracı kuruluşlarının yönetimi - Iş ortağı yöneticisi ve Tam yönetici hakları gereklidir.

Güvenlik Bölgesi Mimarisi

Webex bulut mimarisi, farklı hizmet türlerini aşağıda gösterildiği gibi ayrı etki alanlarına veya güven etki alanlarına ayırır.

Ayırma Bölgeleri (Karma Veri Güvenliği olmadan)

Karma Veri Güvenliğini daha fazla anlamak için ilk olarak Cisco’nun bulut bölgelerindeki tüm işlevleri sağladığı bu saf bulut durumuna bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebileceği tek yer olan kimlik hizmeti, veri merkezi B'deki güvenlik bölgesinden mantıksal ve fiziksel olarak ayrılır. Her ikisi de şifreli içeriğin nihayetinde veri merkezi C'de depolandığı bölgeden ayrılır.

Bu şemada, istemci kullanıcının dizüstü bilgisayarında çalışan Webex Uygulaması olup kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana göndermek üzere bir mesaj oluşturduğunda, aşağıdaki adımlar gerçekleştirilir:

  1. Istemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar ve ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, AES-256 ana anahtarı kullanarak anahtarı şifreler.

  2. Mesaj, istemciden ayrılmadan önce şifrelenir. Istemci, içeriği gelecekteki aramalara yardımcı olması için şifreli arama indeksleri oluşturan indeksleme hizmetine gönderir.

  3. Şifreli mesaj, uyumluluk kontrolleri için uyumluluk hizmetine gönderilir.

  4. Şifreli mesaj, depolama alanında depolanır.

Karma Veri Güvenliğini dağıttığınızda, güvenlik bölgesi işlevlerini (KMS, indeksleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun bölgelerinde kalır.

Diğer Kuruluşlarla Iş Birliği Yapma

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (kullanıcılarınızdan biri tarafından oluşturulduğu için) KMS, anahtarı bir ECDH güvenli kanal üzerinden istemciye gönderir. Ancak, başka bir kuruluş alan için anahtara sahip olduğunda, KMS’niz anahtarı uygun KMS’den almak için isteği ayrı bir ECDH kanalı üzerinden Webex buluta yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza döndürür.

Kuruluş A’da çalışan KMS hizmeti, x.509 PKI sertifikalarını kullanarak diğer kuruluşlardaki KMS’lere olan bağlantıları doğrular. Çok Kiracılı Karma Veri Güvenliği dağıtımınızla kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için bkz. Ortamınızı Hazırlama .

Karma Veri Güvenliğini Kullanıma Alma Beklentileri

Karma Veri Güvenliği dağıtımı, önemli bir taahhüt ve şifreleme anahtarlarına sahip olmanın riskleri hakkında farkındalık gerektirir.

Karma Veri Güvenliğini dağıtmak için aşağıdakileri sağlamalısınız:

Karma Veri Güvenliği için oluşturduğunuz yapılandırma ISO’sunun veya sağladığınız veritabanının tamamen kaybedilmesi, anahtarların kaybına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasındaki alan içeriğinin ve diğer şifrelenmiş verilerin şifresini çözmesini engeller. Bu durumda, yeni bir dağıtım oluşturabilirsiniz, ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmanız gerekir:

  • Veritabanının ve yapılandırma ISO'sunun yedeklenmesini ve kurtarılmasını yönetin.

  • Veritabanı diski arızası veya veri merkezi arızası gibi bir felaket meydana gelirse, acil durum kurtarma işlemini gerçekleştirmek için hazır olun.

Bir HDS dağıtımından sonra anahtarları Buluta geri taşıma mekanizması yoktur.

Üst düzey Kurulum süreci

Bu belgede, Çok Kiracılı Karma Veri Güvenliği dağıtımının kurulumu ve yönetimi ele alınmaktadır:

  • Karma Veri Güvenliğini Ayarlama—Buna, gerekli altyapıyı hazırlama ve Karma Veri Güvenliği yazılımının yüklenmesi, bir HDS kümesi oluşturma, kümeye kiracı kuruluşları ekleme ve Müşteri Ana Anahtarlarını (CMK'lar) yönetme dahildir. Bu, müşteri kuruluşlarınızın tüm kullanıcılarının güvenlik işlevleri için Karma Veri Güvenliği kümenizi kullanmasını sağlar.

    Kurulum, etkinleştirme ve yönetim aşamaları, sonraki üç bölümde ayrıntılı olarak ele alınır.

  • Karma Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak devam eden yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteği sağlayabilir. Partner Hub’da ekran bildirimlerini kullanabilir ve e-posta tabanlı uyarıları ayarlayabilirsiniz.

  • Yaygın uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın: Karma Veri Güvenliğini dağıtma veya kullanma konusunda sorun yaşarsanız bu kılavuzun son bölümü ve Bilinen Sorunlar eki, sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Karma Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Karma Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web yuvaları ve güvenli HTTP üzerinden Webex bulutu ile iletişim kurar.

Yükleme işlemi sırasında, size sağladığınız sanal makinelerde sanal cihazı ayarlamak için OVA dosyasını sağlarız. Her düğüme monte ettiğiniz özel küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Karma Veri Güvenliği kümesi, sağlanan Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (HDS Kurulum Aracında Syslogd ve veritabanı bağlantı ayrıntılarını yapılandırırsınız.)

Karma Veri Güvenliği Dağıtım Modeli

Bir kümede sahip olabileceğiniz minimum düğüm sayısı iki’dir. Küme başına en az üç tane öneririz. Birden fazla düğümün olması, bir düğümün yazılım yükseltmesi veya diğer bakım etkinliği sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve aynı sistem günlüğü sunucusuna günlük etkinliği. Düğümlerin kendileri vatansızdır ve anahtar isteklerini bulut tarafından yönlendirildiği şekilde sırayla işler.

Düğümleri Partner Hub'da kaydettiğinizde aktif hale gelir. Tek bir düğümü kullanımdan kaldırmak için kaydını silebilir ve gerekirse daha sonra yeniden kaydedebilirsiniz.

Felaketten Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketinde, dağıtımınızı bekleme veri merkezine manuel olarak başarısız olabilirsiniz.

Yük devretmeden önce, Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı varken, B'de ek yapılandırmalar, kuruluşa kayıtlı sanal makinelerin ve bekleme veritabanı bulunan ISO dosyasının bir kopyası bulunur. Yük devretmeden sonra, Veri Merkezi B etkin HDS düğümlerine ve birincil veritabanına sahipken, A kayıtlı olmayan sanal makinelere ve ISO dosyasının bir kopyasına sahipken veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Yük Devretme

Etkin ve beklemedeki veri merkezlerinin veritabanları birbiriyle eşitlenir. Bu, yük devretme işlemi için harcanan süreyi en aza indirir.

Aktif Karma Veri Güvenliği düğümleri, her zaman aktif veritabanı sunucusu ile aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok—Bir proxy entegre etmek için HDS düğüm kurulumu Güven Deposu ve Proxy yapılandırmasını kullanmazsanız varsayılandır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf denetlenmeyen proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünel açma veya denetleme proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy—Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama düzenini kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği içeriğe bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Karma Veri Güvenliği Gereksinimleri

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Karma Veri Güvenliğini dağıtmak için:

  • Iş Ortağı Kuruluşlar: Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Kuruluşları: Cisco Webex Control Hub için Pro Pack’iniz olmalıdır. (Bkz. https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

HDS düğümlerinizi yüklemeden önce bir kurulum programı çalıştırmak için Docker Desktop'a ihtiyacınız vardır. Docker yakın zamanda lisanslama modelini güncelledi. Organizasyonsanız Docker Masaüstü için ücretli bir abonelik gerekli olabilir. Ayrıntılar için " Docker Ürün Aboneliklerimizi Güncelleniyor ve Uzatıyor" docker blog gönderisini okuyun.

Docker Desktop lisansı olmayan müşteriler, konteynerleri çalıştırmak, yönetmek ve oluşturmak için Podman Desktop gibi açık kaynaklı bir konteyner yönetim aracını kullanabilir. Ayrıntılar için bkz. Podman Masaüstü kullanarak HDS Kurulum aracını çalıştırma .

X.509 Sertifika Gereksinimleri

Sertifika zinciri, aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Karma Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalandı

Varsayılan olarak, https://wiki.mozilla.org/CA:IncludedCAs adresindeki Mozilla listesindeki (WoSign ve StartCom hariç) CA'lara güveniriz.

  • Karma Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) etki alanı adı taşır

  • Joker karakter sertifikası değil

CN’nin ulaşılabilir olması veya canlı toplantı sahibi olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz; örneğin, hds.company.com.

CN, bir * (joker karakter) içermemelidir.

CN, Webex Uygulaması istemcilerine yönelik Karma Veri Güvenliği düğümlerini doğrulamak için kullanılır. Kümenizdeki tüm Karma Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz, kendisini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanı değil, CN etki alanını kullanarak tanımlar.

Bu sertifikayla bir düğümü kaydettikten sonra, CN etki alanı adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'leriyle olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı PKCS #12 dosyası olarak biçimlendirildi

  • Sertifikayı, özel anahtarı ve yüklemek üzere ara sertifikaları etiketlemek için kms-private-key dostu adını kullanın.

Sertifikanızın biçimini değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırırken parolayı girmeniz gerekir.

KMS yazılımı anahtar kullanımını veya genişletilmiş anahtar kullanımı kısıtlamaları gerektirmez. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi her bir sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmak sorun değil.

Sanal Toplantı Sahibi Gereksinimleri

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerinin aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde yer alan en az iki ayrı ana bilgisayar (3 önerilir)

  • VMware ESXi 7.0 (veya sonraki sürümleri) yüklendi ve çalışıyor.

    ESXi'nin daha eski bir sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolama için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları yüklendiğinde veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek vardır. Her biri için gereksinimler aşağıdaki gibidir:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

posix_times

SQL Sunucusu

  • PostgreSQL 14, 15 veya 16, yüklendi ve çalışıyor.

  • SQL Server 2016, 2017, 2019 veya 2022 (Kurumsal veya Standart) yüklendi.

    SQL Server 2016, Service Pack 2 ve Kümülatif Güncelleme 2 veya sonraki bir sürümü gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve aşılmadığından emin olmak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yükler:

posix_times

SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü, SQL Server Always On’u (Always On Yük Devretme Küme Örnekleri ve Always On kullanılabilirlik grupları) destekler.

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server'daki anahtar deposu veritabanınıza erişim elde etmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümlerinin, Active Directory altyapısı ve MS SQL Sunucusunun tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının veritabanına okuma/yazma erişimine sahip olması gerekir.

  • HDS düğümlerine sağladığınız DNS sunucuları, Anahtar Dağıtım Merkezinizi (KDC) çözümleyebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Sunucunuza Active Directory’nizde Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Hizmet Asıl Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcı ve yerel KMS'nin tümünün anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulaması ile erişim talep ederken SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yön

Hedef

Karma Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Common Identity toplantı sahipleri

  • Karma Veri Güvenliği için listelenen diğer URL’ler, Webex Hizmetleri için Ağ Gereksinimleri ’nin Webex Karma Hizmetleri için Ek URL’ler tablosunda

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Common Identity toplantı sahipleri

  • hub.docker.com

NAT veya güvenlik duvarı önceki tabloda etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece Karma Veri Güvenliği düğümleri ağ erişimi çevirisi (NAT) ile veya güvenlik duvarının arkasında çalışır. Karma Veri Güvenliği düğümlerine gelen bağlantılarda, hiçbir bağlantı noktası internetten görünmemelidir. Veri merkezinizde, istemcilerin yönetim amaçları için TCP bağlantı noktaları 443 ve 22'deki Karma Veri Güvenliği düğümlerine erişmesi gerekir.

Common Identity (CI) toplantı sahipleri için URL’ler bölgeye özgüdür. Geçerli CI toplantı sahipleri şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa trafiğin wbx2.com denetlenmemesi (denetlenmemesi) sorunu çözecektir ciscospark.com .

Karma Veri Güvenliği Ön Koşullarını Tamamlayın

Karma Veri Güvenliği kümenizi yüklemeye ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Iş ortağı kuruluşunuzda Çok Kiracılı HDS özelliğinin etkin olduğundan emin olun ve iş ortağı tam yönetici ve tam yönetici hakları olan bir hesabın kimlik bilgilerini alın. Webex müşteri kuruluşunuzun, Cisco Webex Control Hub için Pro Pack’e etkinleştirildiğinden emin olun. Bu işlemle ilgili yardım için Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşları mevcut HDS dağıtımına sahip olmamalıdır.

2

HDS dağıtımınız için bir etki alanı adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve herhangi bir ara sertifika içeren bir sertifika zinciri edinin. Sertifika zinciri, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşılamalıdır.

3

Kümenizde Karma Veri Güvenliği düğümleri olarak ayarlayacağınız sanal toplantı sahiplerini hazırlayın. Aynı güvenli veri merkezinde yer alan ve Sanal Toplantı Sahibi Gereksinimleri'ndeki gereksinimleri karşılayan en az iki ayrı toplantı sahibinin (önerilen 3) olması gerekir.

4

Veritabanı sunucusu gereksinimlerine göre küme için anahtar veri deposu olarak görev alacak veritabanı sunucusunu hazırlayın. Veritabanı sunucusu, sanal toplantı sahipleriyle birlikte güvenli veri merkezine yerleştirilmelidir.

  1. Anahtar depolama için bir veritabanı oluşturun. (Bu veritabanını oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları, yüklendiğinde veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı felaketten kurtarma için farklı bir veri merkezinde yedek ortam oluşturun. Yedek ortam, sanal makinelerin ve yedek veritabanı sunucusunun üretim ortamını yansıtır. Örneğin, üretimde HDS düğümleri çalıştıran 3 sanal makine varsa, yedek ortamın 3 sanal makinesi olmalıdır.

6

Kümedeki düğümlerden günlük toplamak için bir sistem günlüğü ana bilgisayarı ayarlayın. Ağ adresini ve sistem günlüğü bağlantı noktasını toplayın (varsayılan UDP 514'tür).

7

Karma Veri Güvenliği düğümleri, veritabanı sunucusu ve sistem günlüğü ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. Kurtarılamayan veri kaybını önlemek için, en azından veritabanını ve Karma Veri Güvenliği düğümleri için oluşturulan yapılandırma ISO dosyasını yedeklemeniz gerekir.

Karma Veri Güvenliği düğümleri, içeriğin şifrelenmesinde ve şifresinin çözülmesinde kullanılan anahtarları depoladığı için, operasyonel bir dağıtımın sürdürülmesi başarısız olursa bu içeriğin GERI ALINAMAZ KAYBI ile sonuçlanır.

Webex Uygulaması istemcileri anahtarlarını önbelleğe alır. Bu nedenle bir kesinti hemen fark edilemeyebilir ancak zamanla ortaya çıkabilir. Geçici kesintilerin önlenmesi imkansızken, geri kazanılabilir durumdadır. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybedilmesi (hiçbir yedekleme mevcut değil), müşteri verilerinin geri alınamamasına yol açacaktır. Karma Veri Güvenliği düğümlerinin operatörlerinin veritabanının ve yapılandırma ISO dosyasının sık sık yedeklemelerini sürdürmeleri ve felaket yaşanırsa Karma Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenir.

8

Güvenlik duvarı yapılandırmanızın, Harici bağlantı gereksinimleri bölümünde açıklandığı gibi Karma Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

https://www.docker.com adresinden erişebilen bir web tarayıcısı ile desteklenen bir işletim sistemi (Microsoft Windows 10 Professional veya Enterprise 64 bit ya da Mac OSX Yosemite 10.10.3 veya üstü) çalıştıran herhangi bir yerel makineye Docker'ı ( http://127.0.0.1:8080.) yükleyin.

Tüm Karma Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanabilirsiniz. Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için bkz. Docker Masaüstü Gereksinimleri .

HDS Kurulum Aracını yükleyip çalıştırmak için, yerel makinede Harici bağlantı gereksinimleri bölümünde açıklanan bağlantı olmalıdır.

10

Bir proxy'yi Karma Veri Güvenliği ile entegre ediyorsanız Proxy Sunucusu Gereksinimlerini karşıladığından emin olun.

Karma Veri Güvenliği kümesi ayarla

Karma Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

OVA dosyasını daha sonra kullanılmak üzere yerel makinenize indirin.

2

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından bir sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Karma Veri Güvenliği VM’sini ayarlayın

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

VM'yi, HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

Sanal makineyi Cisco Webex bulutuna Karma Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirin.

HDS’yi etkinleştirin ve Partner Hub’da kiracı kuruluşlarını yönetin.

Ilk kurulumu gerçekleştirin ve yükleme dosyalarını indirin

Bu görevde, bir OVA dosyasını makinenize (Karma Veri Güvenliği düğümleri olarak ayarladığınız sunuculara değil) indirirsiniz. Bu dosyayı daha sonra yükleme işleminde kullanırsınız.

1

Partner Hub’da oturum açın ve ardından Hizmetler’e tıklayın.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

Partner Hub’da Kur ’a tıklamak, dağıtım işlemi için önemlidir. Bu adımı tamamlamadan yükleme işlemine devam etmeyin.

3

Kaynak ekle ’ye ve Yazılımı Yükle ve Yapılandır kartında .OVA dosyasını indir ’e tıklayın.

Yazılım paketinin (OVA) eski sürümleri, en son Karma Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu, uygulama yükseltilirken sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden de indirebilirsiniz. Ayarlar > Yardım > Karma Veri Güvenliği yazılımını indir’e tıklayın.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı makinenizdeki bir konuma kaydedin.
4

Isteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Karma veri güvenliği dağıtım kılavuzuna göz atın.

HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında şu seçeneklere sahipsiniz:

  • Hayır: Ilk HDS düğümünüzü oluşturuyorsanız yüklenecek bir ISO dosyanız yoktur.
  • Evet: Daha önce HDS düğümleri oluşturduysanız, göz atmada ISO dosyanızı seçin ve yükleyin.
10

X.509 sertifikanızın, X.509 Sertifika Gereksinimleri'ndeki gereksinimleri karşıladığından emin olun.

  • Daha önce hiç bir sertifika yüklemediyseniz X.509 sertifikasını yükleyin, parolayı girin ve Devam’a tıklayın.
  • Sertifikanız tamam ise Devam’a tıklayın.
  • Sertifikanızın süresi dolmuşsa veya sertifikayı değiştirmek istiyorsanız Önceki ISO’dan HDS sertifika zincirini ve özel anahtarı kullanmaya devam et? için Hayır’ı seçin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devam’a tıklayın.
11

Anahtar veri deponuza erişmek üzere HDS’nin veritabanı adresini ve hesabını girin:

  1. Veritabanı Türü (PostgreSQL veya Microsoft SQL Server) öğesini seçin.

    Microsoft SQL Server'ı seçerseniz, Kimlik Doğrulama Türü alanına sahip olursunuz.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzü seçin:

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanında yerel bir SQL Sunucusu hesabı adına ihtiyacınız vardır.

    • Windows Kimlik Doğrulaması: username@DOMAIN Kullanıcı Adı alanında biçiminde bir Windows hesabına ihtiyacınız vardır.

  3. : veya : formunda veritabanı sunucusu adresini girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözmek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulaması kullanıyorsanız, bu biçimde Tam Etki Alanı Adı girmeniz gerekir dbhost.example.org:1433

  4. Veritabanı Adı’nı girin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adı ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modu’nu seçin:

Mode

Açıklama

TLS'yi Tercih Etme (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod, SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı oluşturduktan sonra düğüm, veritabanı sunucusundaki sertifikanın imzalayanını Veritabanı kök sertifikası'ndaki sertifika yetkilisi ile karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca, sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayar ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikasını yüklediğinizde (gerekirse) ve Devam'a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi başarılı bir şekilde test edemese bile HDS düğümleri TLS bağlantısı kurabilir.)

13

Sistem Günlükleri sayfasında, Syslogd sunucunuzu yapılandırın:

  1. Sistem günlüğü sunucusu URL'sini girin.

    Sunucu HDS kümeniz için düğümlerden DNS ile çözümlenebilir değilse URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 UDP bağlantı noktası 514'te 10.92.43.23 olan Syslogd ana bilgisayarına günlük kaydı olduğunu gösterir.

  2. Sunucunuzu TLS şifrelemesi kullanacak şekilde ayarladıysanız, Sistem günlüğü sunucunuz SSL şifrelemesi için yapılandırılmış mı? seçeneğini işaretleyin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514 gibi bir TCP URL girdiğinizden emin olun.

  3. Sistem günlüğü kaydının sonlanmasını seç açılır menüsünden ISO dosyanız için uygun ayarı seçin: Gri Günlük ve Rsyslog TCP için Seç veya Yeni Hat Kullan

    • Boş bayt -- \x00

    • Yeni satır -- \n—Gri Günlük ve Rsyslog TCP için bu seçimi seçin.

  4. Devam Et'e tıklayın.

14

(Isteğe bağlı) Bazı veritabanı bağlantı parametreleri için varsayılan değeri Gelişmiş Ayarlar’da değiştirebilirsiniz. Genellikle, bu parametre değiştirmek isteyebileceğiniz tek seçenektir:

app_datasource_connection_pool_maxSize: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında Devam ’a tıklayın.

Hizmet hesabı parolalarının kullanım ömrü dokuz aydır. Parolalarınızın süresi dolmak üzere olduğunda veya parolaları önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını Indir’e tıklayın. Dosyayı bulmak kolay bir konuma kaydedin.

17

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın.

Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

18

Kurulum aracını kapatmak için CTRL+C yazın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmanız veya yapılandırma değişiklikleri yapmanız gerekir. ISO dosyasının tüm kopyalarını kaybederseniz ana anahtarı da kaybedersiniz. Anahtarları PostgreSQL veya Microsoft SQL Server veritabanınızdan kurtarmak mümkün değil.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Ana Bilgisayar OVA'sını Yükleme

OVA dosyasından sanal bir makine oluşturmak için bu prosedürü kullanın.
1

ESXi sanal ana bilgisayarında oturum açmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Dosya > OVF Şablonunu Dağıt'ı seçin.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından Ileri’ye tıklayın.

4

Ad ve klasör seçin sayfasında, düğüm için bir Sanal makine adı girin (örneğin, “HDS_Node_1”), sanal makine düğümü dağıtımının bulunabileceği bir konum seçin ve ardından Ileri’ye tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından Ileri’ye tıklayın.

Bir doğrulama kontrolü çalışır. Işlem tamamlandıktan sonra şablon ayrıntıları görüntülenir.

6

Şablon ayrıntılarını doğrulayıp Ileri’ye tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU ’ya ve ardından Ileri’ye tıklayın.

8

Depolama alanını seçin sayfasında, varsayılan disk biçimi ve sanal makine depolama politikasını kabul etmek için Ileri ’ye tıklayın.

9

Ağları seçin sayfasında, sanal makineye istediğiniz bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında, aşağıdaki ağ ayarlarını yapılandırın:

  • Ana bilgisayar adı—FQDN'yi (ana bilgisayar adı ve etki alanı) veya düğüm için tek kelime ana bilgisayar adını girin.

    • Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

    • Buluta başarılı bir kayıt sağlamak için düğüm için ayarladığınız FQDN veya ana bilgisayar adında yalnızca küçük karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri aşmamalıdır.

  • IP Adresi— Düğümün dahili arayüzünün IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören ağ düğümüdür.
  • DNS Sunucuları—Etki alanı adlarının sayısal IP adreslerine çevrilmesiyle ilgilenen, virgülle ayrılmış bir DNS sunucuları listesi girin. (En fazla 4 DNS girişine izin verilir.)
  • NTP Sunucuları—Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilecek başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm kuruluşlar için çalışmayabilir. Birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağda veya VLAN’da dağıtın, böylece bir kümedeki tüm düğümlere yönetim amaçları doğrultusunda ağınızdaki istemcilerden ulaşılabilir olur.

Tercih edilirse ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları uygulayabilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm sanal makinesine sağ tıklayın ve ardından Güç > Güç Aç'ı seçin.

Karma Veri Güvenliği yazılımı, sanal makine ana bilgisayarında konuk olarak yüklenir. Artık konsolda oturum açmaya ve düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm konteynerleri açılmadan önce birkaç dakika gecikme yaşayabilirsiniz. Ilk başlatma sırasında konsolda oturum açamadığınız bir köprü güvenlik duvarı mesajı görüntülenir.

Karma Veri Güvenliği VM’sini ayarlayın

Karma Veri Güvenliği düğümü VM konsolunda ilk kez oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Karma Veri Güvenliği düğümü VM'nizi ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görünür. Oturum açma istemi görüntülenmiyorsa Enter tuşuna basın.
2

Oturum açmak ve kimlik bilgilerini değiştirmek için aşağıdaki varsayılan oturum açma ve parolayı kullanın:

  1. Oturum Açma: admin

  2. Parola: cisco

Sanal makinenizde ilk kez oturum açtığınızdan, yönetici parolasını değiştirmeniz gerekir.

3

HDS Ana Bilgisayar OVA'sını Yükle'de ağ ayarlarını zaten yapılandırdıysanız bu prosedürün geri kalanını atlayın. Aksi takdirde, ana menüde Yapılandırmayı Düzenle seçeneğini belirleyin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(Isteğe bağlı) Ağ politikanızla eşleşmek için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucularını değiştirin.

Etki alanını, X.509 sertifikasını almak için kullandığınız etki alanıyla eşleşecek şekilde ayarlamanıza gerek yoktur.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleme ve Montaj

Sanal makineyi HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, dosya yalnızca Karma Veri Güvenliği sanal makinelerinin ve değişiklik yapması gerekebilecek yöneticilerin erişim için "bilinmesi gereken" temelinde gösterilmelidir. Yalnızca bu yöneticilerin veri deposuna erişebildiğinden emin olun.

1

Bilgisayarınızdan ISO dosyasını yükleyin:

  1. VMware vSphere istemcisinin sol navigasyon bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinden Depolama’ya tıklayın.

  3. Veri Depoları listesinde, sanal makinelerinizin veri mağazasına sağ tıklayın ve Veri Mağazasına Gözat'a tıklayın.

  4. Dosya Yükle simgesine ve ardından Dosya Yükle’ye tıklayın.

  5. ISO dosyasını bilgisayarınıza indirdiğiniz konuma gidin ve ’a tıklayın.

  6. Yükleme/indirme işlemi uyarısını kabul etmek için Evet ’e tıklayın ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Kısıtlanmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Drive 1 öğesine tıklayın, veri deposu ISO dosyasından bağlanma seçeneğini belirleyin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Açıldığında bağlan’ı işaretleyin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasının bağlantısını kaldırabilirsiniz. Ayrıntılar için bkz. (Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldırma .

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir web tarayıcısına HDS düğüm kurulum URL’sini https://[HDS Node IP or FQDN]/setup girin, düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Aç’a tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok: Bir proxy entegre etmeden önce varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlenmeyen Proxy: Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır ve denetlenmeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy—Düğümler, belirli bir proxy sunucusu adresi kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy: Açık proxy ile istemciye hangi proxy sunucusunu kullanacağını (HDS düğümleri) söylersiniz ve bu seçenek birkaç kimlik doğrulama türünü destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Proxy IP/FQDN—Proxy makinesine ulaşmak için kullanılabilen adres.

    2. Proxy Bağlantı Noktası: Proxy'nin proxy trafiğini dinlemek için kullandığı bağlantı noktası numarasıdır.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve kontrol eder) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü: Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulama gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel: HTTP Kullanıcı Aracısı için bir istek yaparken kullanıcı adı ve parola sağlamak amacıyla kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgiler göndermeden önce hesabı doğrulamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve Engellenen Harici DNS Çözünürlük Modunu Kapat bölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev, Karma Veri Güvenliği sanal makinesini ayarla’da oluşturduğunuz genel düğümü alır, düğümü Webex buluta kaydeder ve bir Karma Veri Güvenliği düğümüne dönüştürür.

Ilk düğümünüzü kaydettiğinizde, düğümün atandığı bir küme oluşturursunuz. Küme, yedeklilik sağlamak için dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Kur’a tıklayın.

4

Açılan sayfada Kaynak ekle’ye tıklayın.

5

Düğüm ekle kartının ilk alanında, Karma Veri Güvenliği düğümünüzü atamak istediğiniz kümenin adını girin.

Kümeyi, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre adlandırmanızı öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

Ikinci alanda, düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle ’ye tıklayın.

Bu IP adresi veya FQDN, Karma Veri Güvenliği VM’sini Ayarlama bölümünde kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex’e kaydedebileceğinizi gösteren bir mesaj görünür.
7

Düğüme Git’e tıklayın.

Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

8

Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.
9

Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

Karma Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesinde görüntülenir. Düğüm, buluttan en son yazılımı otomatik olarak indirir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını monte etmeniz ve ardından düğümü kaydetmeniz yeterlidir. En az 3 düğümün olmasını öneririz.

Başlamadan önce

  • Bir düğümü kaydetmeye başladıktan sonra, düğümü 60 dakika içinde tamamlamanız veya baştan başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için istisnalara izin verdiğinizden emin olun.

1

OVA'dan HDS Ana Bilgisayar OVA'sını Yükleme adımlarını tekrarlayarak yeni bir sanal makine oluşturun.

2

Karma Veri Güvenliği VM’sini Ayarlama bölümündeki adımları tekrarlayarak yeni sanal makinenin ilk yapılandırmasını ayarlayın.

3

Yeni sanal makinede, HDS Yapılandırma ISO'sunu Yükleme ve Montaj bölümündeki adımları tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız Proxy Entegrasyonu için HDS Düğümünü Yapılandırma bölümündeki adımları yeni düğüm için gerektiği şekilde tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com üzerinde, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

  2. Bulut Hizmetleri bölümünde, Karma Veri Güvenliği kartını bulun ve Tümünü görüntüle’ye tıklayın.

    Karma Veri Güvenliği Kaynakları sayfası açılır.

  3. Yeni oluşturulan küme, Kaynaklar sayfasında görünecektir.

  4. Kümeye atanan düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle ’ye tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekle’ye tıklayın.

    Düğümünüzü Webex buluta kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra, Webex hizmetleri için düğüm bağlantı testlerine yönlendirilirsiniz. Tüm testler başarılı olursa Karma Veri Güvenliği Düğümüne Erişime Izin Ver sayfası görünür. Burada, kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylamış olursunuz.

  7. Karma Veri Güvenliği Düğümünüze Erişime Izin Ver onay kutusunu işaretleyin ve ardından Devam’a tıklayın.

    Hesabınız doğrulandı ve “Kayıt Tamamlandı” mesajı düğümünüzün artık Webex buluta kayıtlı olduğunu gösteriyor.

  8. Partner Hub Karma Veri Güvenliği sayfasına dönmek için bağlantıya tıklayın veya sekmeyi kapatın.

    Eklenen düğüm açılır mesajı da Partner Hub'da ekranın alt kısmında görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Karma Veri Güvenliği’nde Kiracı kuruluşlarını yönet

Partner Hub’da Çok Kiracılı HDS’yi Etkinleştirme

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Şirket Içi şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS’den yararlanmaya başlamasını sağlar.

Başlamadan önce

Çok Kiracılı HDS kümenizi gerekli sayıda düğüm ile kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

4

HDS Durumu kartında HDS’yi Etkinleştir ’e tıklayın.

Partner Hub’a kiracı kuruluşları ekle

Bu görevde, müşteri kuruluşlarını Karma Veri Güvenliği Kümenize atayabilirsiniz.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanan müşteriler sekmesine gidin.

6

Müşteri ekle’ye tıklayın.

7

Açılır menüden eklemek istediğiniz müşteriyi seçin.

8

Ekle’ye tıkladığınızda müşteri kümeye eklenir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ’ye tıklayın.

Sonraki işlemler

Kurulum işlemini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma bölümünde açıklanan şekilde HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarlarını (CMK'lar) Oluşturma

Başlamadan önce

Partner Hub’da kiracı kuruluşları ekle bölümünde ayrıntılı olarak açıklandığı şekilde müşterileri uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlantı kurulduğundan emin olun.
11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK oluştur veya CMK oluştur - Yeni eklenen tüm kuruluşlar için CMK oluşturmak için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve yeni eklenen tüm kuruluşlar için CMK oluşturmak için CMK oluştur ’a tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleme durumunun yanındaki … öğesine tıklayın ve CMK oluştur öğesine tıklayarak o kuruluş için CMK oluşturun.
12

CMK oluşturma başarılı olduktan sonra, tablodaki durum CMK yönetimi beklemede iken CMK yönetimine geçecektir.

13

CMK oluşturma başarısız olursa bir hata görüntülenir.

Kiracı kuruluşlarını kaldır

Başlamadan önce

Kaldırıldıktan sonra, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS’den yararlanamayacak ve mevcut tüm alanları kaybedecektir. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınızla veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Tümünü görüntüle'ye tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanan Müşteriler’e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğesine ve Kümeden kaldır seçeneğine tıklayın.

Sonraki işlemler

HDS’den kaldırılan kiracıların CMK’larını iptal etme bölümünde açıklandığı şekilde müşteri kuruluşlarının CMK’larını iptal ederek kaldırma işlemini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Kiracı kuruluşlarını kaldır bölümünde açıklanan şekilde müşterileri uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

Yerel toplantı sahibine gitmek için bir web tarayıcısı kullanın http://127.0.0.1:8080 ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, söz konusu hesap için uygun ortamı ayarlamak üzere kullanıcı adının bu ilk girişini kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

Istendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Karma Veri Güvenliği için gerekli hizmetlere erişim sağlamak üzere Oturum aç ’a tıklayın.

8

Kurulum Aracına genel bakış sayfasında Başlangıç’a tıklayın.

9

ISO Içe Aktarma sayfasında Evet’e tıklayın.

10

Tarayıcıda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK’larını yönetmek için aşağıdaki üç yolu bulabileceğiniz Kiracı CMK Yönetimi sekmesine gidin.

  • Tüm KURULUŞ’lar için CMK’yı iptal et veya CMK’yı iptal et - Kaldırılan tüm kuruluşların CMK’larını iptal etmek için ekranın üst kısmındaki başlıktaki bu düğmeye tıklayın.
  • Ekranın sağ tarafındaki CMK’ları Yönet düğmesine tıklayın ve kaldırılan tüm kuruluşların CMK’larını iptal etmek için CMK’ları iptal et ’e tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilmesi için CMK durumunun yanındaki ... seçeneğine tıklayın ve belirli bir kuruluşun CMK'sını iptal etmek için CMK'yı iptal et seçeneğine tıklayın.
12

CMK iptali başarılı olduktan sonra müşteri kuruluşu artık tabloda görünmez.

13

CMK iptali başarısız olursa bir hata görüntülenir.

Karma Veri Güvenliği dağıtımınızı test edin

Karma Veri Güvenliği Dağıtımınızı Test Etme

Çok Kiracılı Karma Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Karma Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğüne erişiminiz olduğundan emin olun.

1

Belirli bir alanın anahtarları, alanın yaratıcısı tarafından ayarlanır. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve bir alan oluşturun.

Karma Veri Güvenliği dağıtımını devre dışı bırakırsanız şifreleme anahtarlarının istemci tarafından önbelleğe alınmış kopyaları değiştirildikten sonra kullanıcıların oluşturduğu alanlardaki içeriğe artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Karma Veri Güvenliği dağıtımınıza aktarıldığını doğrulamak için sistem günlüğü çıktısını kontrol edin.

  1. Önce KMS'de güvenli bir kanal oluşturan bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTION üzerinde filtreleyin:

    Aşağıdaki gibi bir giriş bulmalısınız (tanımlayıcılar okunabilirlik için kısaltılmış):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS’den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEY öğelerine filtre uygulayın:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTION öğelerine filtre uygulayın:

    Şunun gibi bir giriş bulmanız gerekir:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Bir alan veya başka korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTION üzerinde filtreleyin:

    Şunun gibi bir giriş bulmanız gerekir: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Karma Veri Güvenliği Durumunu Izleme

Partner Hub’daki durum göstergesi, Çok Kiracılı Karma Veri Güvenliği konuşlandırması ile ilgili her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarı için e-posta bildirimlerine kaydolun. Hizmeti etkileyen uyarı veya yazılım yükseltmeleri olduğunda bildirim alacaksınız.
1

Partner Hub’da, ekranın sol tarafındaki menüden Hizmetler ’i seçin.

2

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Ayarları Düzenle'ye tıklayın.

Karma Veri Güvenliği Ayarları sayfası açılır.
3

E-posta Bildirimleri bölümünde virgülle ayrılmış bir veya daha fazla e-posta adresi yazın ve Enter tuşuna basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönet

Karma Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Planını Ayarla

Karma Veri Güvenliği için yazılım yükseltmeleri, tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlayan küme düzeyinde otomatik olarak yapılır. Yükseltmeler, kümenin yükseltme planına göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme planı belirleyebilir veya Amerika Birleşik Devletleri Günlük 15:00 varsayılan planını kullanabilirsiniz: Amerika/Los Angeles. Gerekirse, yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme planını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetler’i seçin.

3

Bulut Hizmetleri bölümünde, Karma Veri Güvenliği'ni bulun ve Kur'a tıklayın

4

Karma Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Planı altında yükseltme planı için saat ve saat dilimini seçin.

Not: Saat dilimi altında, bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerekirse 24 saat ertele seçeneğine tıklayarak yükseltmeyi bir sonraki güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirme

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama—Eski ve yeni parolaların her ikisi de 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Zorla sıfırlama—Eski parolalar hemen çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi, iş ortağı tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerini gerektirir.

    Docker Desktop lisansınız yoksa aşağıdaki prosedürde 1.a ila 1.e adımları için HDS Kurulum aracını çalıştırmak üzere Podman Desktop'u kullanabilirsiniz. Ayrıntılar için bkz. Podman Masaüstü kullanarak HDS Kurulum aracını çalıştırma .

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 1.e’de Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

  6. Bir tarayıcı kullanarak yerel toplantı sahibine bağlanın, http://127.0.0.1:8080.

    Kurulum aracı, http://localhost:8080 üzerinden yerel toplantı sahibine bağlanmayı desteklemez. Yerel toplantı sahibine bağlanmak için http://127.0.0.1:8080 kullanın.

  7. Istendiğinde, Partner Hub müşteri oturum açma kimlik bilgilerinizi girin ve devam etmek için Kabul Et ’e tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+C yazın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızca bir HDS düğümü çalışıyorsa, yeni bir Karma Veri Güvenliği düğümü VM'si oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için bkz. Daha fazla düğüm oluşturma ve kaydetme.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni düğümü Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Drive 1 öğesine tıklayın, bir ISO dosyasından bağlanma seçeneğini belirleyin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma gidin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Karma Veri Güvenliği düğüm arabirimini (IP adresi/kurulum, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve Oturum Aç’a tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Düğüm Kaldırma

Karma Veri Güvenliği düğümünü Webex bulutundan kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişimi önlemek için sanal makineyi silin.
1

ESXi sanal ana bilgisayarında oturum açmak ve sanal makineyi kapatmak için bilgisayarınızda VMware vSphere istemcisini kullanın.

2

Düğümü kaldır:

  1. Partner Hub’da oturum açın ve ardından Hizmetler’i seçin.

  2. Karma Veri Güvenliği kartında, Karma Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle ’ye tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümün kaydını sil 'e tıklayın

  6. Düğümün sağ tarafındaki … öğesine tıklayarak ve Bu düğümü kaldır’ı seçerek de düğümün kaydını silebilirsiniz.

3

vSphere istemcisinde sanal makineyi silin. (Sol navigasyon bölmesinde sanal makineye sağ tıklayın ve Sil'e tıklayın.)

Sanal makineyi silmezseniz, yapılandırma ISO dosyasının bağlantısını kaldırmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için sanal makineyi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Olağanüstü Durum Kurtarma

Karma Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Karma Veri Güvenliğine atanan her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturulan anahtarları, örneğin bir konuşma alanının üyeleri, alma yetkisi olan kullanıcılara iade etmekten de sorumludur.

Küme bu anahtarları sağlamanın kritik işlevini yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin sürdürülmesi zorunludur. Karma Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriği GERI ALINAMAZ BIR ŞEKILDE KAYIPINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamalar zorunludur:

Bir felaket, birincil veri merkezindeki HDS dağıtımının kullanılamamasına neden olursa bekleme veri merkezine manuel olarak yük devretmek için bu prosedürü izleyin.

Başlamadan önce

Düğüm Kaldırma’da belirtildiği gibi Partner Hub’daki tüm düğümlerin kaydını kaldırın. Aşağıda belirtilen yük devretme prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümleri için yapılandırılan en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma başlığında belirtilen adımları izleyin.

2

Yapılandırma işlemini tamamlayın ve ISO dosyasını bulmak kolay bir konuma kaydedin.

3

Yerel sisteminizde ISO dosyasının yedek kopyasını yapın. Yedek kopyayı güvenli tutun. Bu dosya, veritabanı içeriği için bir ana şifreleme anahtarı içerir. Erişimi yalnızca yapılandırma değişiklikleri yapması gereken Karma Veri Güvenliği yöneticileriyle kısıtlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle >CD/DVD Sürücü 1 ’e tıklayın ve Veri Deposu ISO Dosyası’nı seçin.

Düğümler başlatıldıktan sonra güncellenen yapılandırma değişikliklerinin etkili olabilmesi için Bağlı ve Açıldığında Bağlan ’ın işaretlendiğinden emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca alarm olmadığından emin olun.

7

Düğümü Partner hub’a kaydedin. Kümedeki ilk düğümü kaydet’e bakın.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Yük devretmeden sonra, birincil veri merkezi tekrar aktif hale gelirse, bekleme veri merkezinin düğümlerinin kaydını kaldırın ve yukarıda belirtildiği gibi ISO'yu yapılandırma ve birincil veri merkezinin düğümlerini kaydetme işlemini tekrarlayın.

(Isteğe bağlı) HDS Yapılandırmasından Sonra ISO Bağlantısını Kaldır

Standart HDS yapılandırması, ISO takılı olarak çalışır. Ancak, bazı müşteriler ISO dosyalarını sürekli olarak monte etmemeyi tercih eder. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasının bağlantısını kaldırabilirsiniz.

Yapılandırma değişiklikleri yapmak için ISO dosyalarını kullanmaya devam edersiniz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenen ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonrasına yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Sunucu Aygıtında HDS düğümünü seçin.

3

Ayarları Düzenle > CD/DVD sürücüsü ’nü seçin ve Datastore ISO Dosyası seçeneğinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika alarm olmadığından emin olun.

5

Her HDS düğümü için sırayla tekrarlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Uyarıları Görüntüleme ve Sorun Giderme

Karma Veri Güvenliği dağıtımının, kümedeki tüm düğümlere ulaşılamıyorsa veya küme zaman aşımı isteyen çok yavaş çalışıyorsa kullanılamıyor olduğu düşünülür. Kullanıcılar Karma Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Şunlar için mesajlar ve alan başlıklarının şifresi çözülemiyor:

    • Alana eklenen yeni kullanıcılar (anahtarlar alınamıyor)

    • Yeni istemci kullanan bir alanda bulunan kullanıcılar (anahtarlar alınamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintisi yaşanmasını önlemek için Karma Veri Güvenliği kümenizi düzgün şekilde izlemeniz ve uyarıları derhal ele almanız önemlidir.

Uyarılar

Karma Veri Güvenliği kurulumunda bir sorun olduğunda, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılan e-posta adresine e-posta gönderir. Uyarılar birçok yaygın senaryoyu kapsar.

Tablo 1. Yaygın Sorunlar ve Bunları Çözme Adımları

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmeti erişim hatası.

Düğümlerin Harici bağlantı gereksinimleri bölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut hizmeti kaydının yenilenmesi.

Bulut hizmetlerine kayıt bağlantısı kesildi. Kaydın yenilenmesi devam ediyor.

Bulut hizmeti kaydı sonlandırıldı.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz etkinleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılan etki alanı, sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın, yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

Bunun en olası nedeni, sertifika CN’sinin yakın zamanda değişmiş olması ve artık ilk kurulum sırasında kullanılan CN’den farklı olmasıdır.

Bulut hizmetleriyle kimlik doğrulanamadı.

Hizmet hesabı kimlik bilgilerinin doğruluğunu ve olası süre sonu olup olmadığını kontrol edin.

Yerel keystore dosyası açılamadı.

Yerel anahtar deposu dosyasında bütünlük ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve sertifikanın güvenilir bir Sertifika Yetkilisi tarafından düzenlendiğini onaylayın.

Ölçümler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizini mevcut değil.

Sanal ana bilgisayardaki ISO montaj yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarılı bir şekilde bağlandığını doğrulayın.

Eklenen kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı'nı kullanarak yeni eklenen kiracı kuruluşları için CMK oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluşu Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşlarının CMK’larını iptal ederek kurulumu tamamlayın.

Karma Veri Güvenliği Sorunlarını Giderme

Karma Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Tüm uyarılar için Partner Hub’ı gözden geçirin ve burada bulduğunuz tüm öğeleri düzeltin. Referans için aşağıdaki resme bakın.

2

Karma Veri Güvenliği dağıtımında etkinlik için sistem günlüğü sunucusu çıktısını gözden geçirin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi kelimeleri filtreleyin.

3

Cisco destek ile iletişime geçin.

Diğer notlar

Karma Veri Güvenliği için Bilinen Sorunlar

  • Karma Veri Güvenliği kümenizi kapatırsanız (Partner Hub’da silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı veya anahtar deposu veritabanına erişimi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS’nizdeki anahtarlarla oluşturulmuş Kişi listelerinin altındaki alanları kullanamaz. Şu anda bu sorun için bir çözüm veya çözümümüz yok ve HDS hizmetleriniz etkin kullanıcı hesaplarını işledikten sonra kapatmamanızı rica ediyoruz.

  • Bir KMS'ye mevcut bir ECDH bağlantısı olan bir istemci, bu bağlantıyı belirli bir süre (muhtemelen bir saat) korur.

Podman Masaüstü'nü kullanarak HDS Kurulum aracını çalıştırın

Podman, konteynerlerin çalıştırılması, yönetilmesi ve oluşturulması için bir yol sağlayan ücretsiz ve açık kaynaklı bir konteyner yönetim aracıdır. Podman Masaüstü, https://podman-desktop.io/downloads üzerinden indirilebilir.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için Podman'ı bu makinede indirin ve çalıştırın. Kurulum işlemi, organizasyonunız için tam yönetici hakları olan bir Control Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy arkasında çalışıyorsa 5. adımda Docker kapsayıcısını getirirken Docker ortam değişkenleri aracılığıyla proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız vardır:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasındaki değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız, TLS için PostgreSQL veya SQL Server dağıtımınızı ayarlayın.

Karma Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Ardından, Karma Veri Güvenliği ana bilgisayarınızı yapılandırmak için ISO'yu kullanabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

podman rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

podman rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

podman login docker.io -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

podman pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

Sonraki işlemler

ISO yapılandırmasını oluşturmak veya değiştirmek için HDS Ana Bilgisayarları için Yapılandırma ISO Oluşturma veya Düğüm Yapılandırmasını Değiştirme bölümündeki kalan adımları izleyin.

PKCS12 Dosyası Oluşturmak için OpenSSL Kullanma

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'nda yüklemek için uygun biçimde yapmak için kullanılabilen bir araçtır. Bunu yapmanın başka yolları da vardır ve biz bir yoldan diğerine desteklemez veya teşvik etmeyiz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleri'nde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olacak bir kılavuz olarak sunuyoruz. Devam etmeden önce bu gereksinimleri anlayın.

  • OpenSSL'yi desteklenen bir ortama yükleyin. Yazılım ve belgeler https://www.openssl.org için bkz.

  • Özel anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

Sertifika yetkilinizden sunucu sertifikasını aldığınızda hdsnode.pem olarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

openssl x509 -text -noout -in hdsnode.pem

3

hdsnode-bundle.pem adlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyası, sunucu sertifikasını, herhangi bir ara sertifika yetkilisi sertifikasını ve kök sertifika yetkilisi sertifikalarını aşağıdaki biçimde içermelidir:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

.p12 dosyasını kms-private-key dostu adla oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifikası ayrıntılarını kontrol edin.

  1. openssl pkcs12 -in hdsnode.p12

  2. Çıktıda listelenmesi için özel anahtarı şifrelemek üzere istemde bir parola girin. Ardından, özel anahtarın ve ilk sertifikanın hatları friendlyName: kms-private-key içerdiğini doğrulayın.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Sonraki işlemler

Karma Veri Güvenliği Için Ön Koşulları Tamamlama’ya dönün. hdsnode.p12 HDS Toplantı Sahipleri için Yapılandırma ISO’su Oluşturma bölümünde dosyayı ve bunun için ayarladığınız parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika istemek için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut arasındaki trafik

Giden Metrikler Toplama Trafiği

Karma Veri Güvenliği düğümleri, belirli ölçümleri Webex buluta gönderir. Bunlar; yığın maks., kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem metrikleri; senkronize ve asenkron iş parçacıklarındaki metrikler; şifreleme bağlantılarının eşiğini, gecikme süresini veya istek kuyruğu uzunluğunu içeren uyarılara ilişkin metrikler; veri deposundaki metrikler ve şifreleme bağlantı metrikleri içerir. Düğümler, şifreli anahtar materyali bant dışı (istekten ayrı) kanal üzerinden gönderir.

Gelen Trafik

Karma Veri Güvenliği düğümleri, Webex buluttan aşağıdaki gelen trafik türlerini alır:

  • Istemcilerden gelen ve şifreleme hizmeti tarafından yönlendirilen şifreleme istekleri

  • Düğüm yazılımına yükseltilir

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Karma Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasını bozabilir. Bu bölümler, hizmetlerin düzgün çalışması için wss: trafiği yok saymak üzere Squid'in çeşitli sürümlerinin nasıl yapılandırılacağı konusunda rehberlik sağlar.

SQUID 4 ve 5

on_unsupported_protocol Yönergeyi squid.conf öğesine ekleyin:

on_unsupported_protocol tunnel all

Squid 3.5.27

squid.conf uygulamasına eklenen aşağıdaki kurallarla Karma Veri Güvenliğini başarıyla test ettik. Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Yeni ve değiştirilmiş bilgiler

Yeni ve değiştirilmiş bilgiler

Bu tablo, yeni özellikleri veya işlevleri, mevcut içerikteki değişiklikleri ve Çok Kiracılı Hibrit Veri Güvenliği için Dağıtım Kılavuzu'ndadüzeltilen tüm önemli hataları kapsar.

Tarih

Yapılan değişiklikler

08 Mayıs 2025
04 Mart 2025

30 Ocak 2025

Desteklenen SQL sunucuları listesine Veritabanı sunucusu gereksinimleri'nde SQL Server sürümü 2022 eklendi.

15 Ocak 2025

Çoklu Kiracı Hibrit Veri Güvenliğinin Sınırlamalarıeklendi.

08 Ocak 2025

İlk kurulumu gerçekleştirin ve kurulum dosyalarını indirin bölümüne, Partner Hub'daki HDS kartında Kurulum öğesine tıklamanın kurulum sürecinin önemli bir adımı olduğunu belirten bir not eklendi.

07 Ocak 2025

ESXi 7.0'ın yeni gereksinimlerini göstermek için Sanal Ana Bilgisayar Gereksinimleri, Hibrit Veri Güvenliği Dağıtım Görev Akışıve HDS Ana Bilgisayar OVA'sını Yükleme güncellendi.

13 Aralık 2024

İlk yayın tarihi.

Çok Kiracılı Hibrit Veri Güvenliğini Devre Dışı Bırak

Çoklu Kiracı HDS Devre Dışı Bırakma Görev Akışı

Multi-Tenant HDS'yi tamamen devre dışı bırakmak için şu adımları izleyin.

Başlamadan önce

Bu görev yalnızca bir Ortak tam yöneticisi tarafından gerçekleştirilmelidir.
1

Kiracı kuruluşlarını kaldırmabölümünde belirtildiği gibi tüm kümelerinizden tüm müşterileri kaldırın.

2

HDS'den kaldırılan kiracıların CMK'larını iptal edin.bölümünde belirtildiği gibi tüm müşterilerin CMK'larını iptal edin.

3

Bir Düğümü Kaldırmabölümünde belirtildiği gibi, tüm kümelerinizden tüm düğümleri kaldırın.

4

Aşağıdaki iki yöntemden birini kullanarak Partner Hub'daki tüm kümelerinizi silin.

  • Silmek istediğiniz kümeye tıklayın ve genel bakış sayfasının sağ üst köşesindeki Bu Kümeyi Sil öğesini seçin.
  • Kaynaklar sayfasında, kümenin sağ tarafındaki … öğesine tıklayın ve Kümeyi Kaldıröğesini seçin.
5

Hibrit Veri Güvenliği genel bakış sayfasında Ayarlar sekmesine tıklayın ve HDS Durumu kartında HDS'yi Devre Dışı Bırak öğesine tıklayın.

Çok Kiracılı Hibrit Veri Güvenliğine başlayın

Çok Kiracılı Hibrit Veri Güvenliği Genel Bakışı

Webex Uygulaması tasarlanırken ilk günden itibaren veri güvenliği birincil odak noktası olmuştur. Bu güvenliğin temel taşı, Webex Uygulama istemcilerinin Anahtar Yönetim Hizmeti (KMS) ile etkileşimi sayesinde etkinleştirilen uçtan uca içerik şifrelemesidir. KMS, istemcilerin mesajları ve dosyaları dinamik olarak şifrelemek ve şifresini çözmek için kullanılan şifreleme anahtarlarını oluşturmak ve yönetmekle sorumludur.

Varsayılan olarak, tüm Webex Uygulaması müşterileri Cisco'nun güvenlik alanındaki bulut KMS'de depolanan dinamik anahtarlarla uçtan uca şifreleme alır. Karma Veri Güvenliği, KMS ve güvenlikle ilişkili diğer işlevleri kurumsal veri merkezine taşır. Dolayısıyla, hiç kimse şifrelenen içeriğinizin anahtarlarını siz tutar.

Çok Kiracılı Hibrit Veri Güvenliği, kuruluşların, bir hizmet sağlayıcı olarak hareket edebilen ve şirket içi şifreleme ve diğer güvenlik hizmetlerini yönetebilen güvenilir bir yerel ortak aracılığıyla HDS'den yararlanmalarını sağlar. Bu kurulum, ortak kuruluşun şifreleme anahtarlarının dağıtımı ve yönetimi üzerinde tam kontrole sahip olmasını sağlar ve müşteri kuruluşlarının kullanıcı verilerinin dışarıdan erişime karşı güvende olmasını sağlar. Ortak kuruluşlar HDS örnekleri kurar ve ihtiyaç halinde HDS kümeleri oluşturur. Her örnek, tek bir kuruluşla sınırlı olan normal bir HDS dağıtımının aksine, birden fazla müşteri kuruluşunu destekleyebilir.

Ortak kuruluşlar dağıtım ve yönetim üzerinde kontrole sahip olsalar da, müşteriler tarafından oluşturulan verilere ve içeriklere erişimleri yoktur. Bu erişim müşteri kuruluşları ve kullanıcılarıyla sınırlıdır.

Bu, anahtar yönetim hizmeti ve veri merkezleri gibi güvenlik altyapısının güvenilir yerel ortağa ait olması nedeniyle daha küçük kuruluşların da HDS'den yararlanmasına olanak tanır.

Çok Kiracılı Hibrit Veri Güvenliği veri egemenliğini ve veri kontrolünü nasıl sağlar?

  • Kullanıcı tarafından oluşturulan içerik, bulut servis sağlayıcıları gibi dış erişime karşı korunur.
  • Yerel güvenilir ortaklar, halihazırda ilişki içinde oldukları müşterilerin şifreleme anahtarlarını yönetir.
  • Ortak tarafından sağlanması halinde yerel teknik destek seçeneği.
  • Toplantı, Mesajlaşma ve Arama içeriklerini destekler.

Bu belgenin amacı, ortak kuruluşların Çok Kiracılı Hibrit Veri Güvenliği sistemi altında müşterileri kurmalarına ve yönetmelerine yardımcı olmaktır.

Çok Kiracılı Hibrit Veri Güvenliğinin Sınırlamaları

  • Ortak kuruluşların Control Hub'da etkin herhangi bir HDS dağıtımının olmaması gerekir.
  • Bir ortak tarafından yönetilmek isteyen kiracı veya müşteri kuruluşlarının Control Hub'da mevcut bir HDS dağıtımının olmaması gerekir.
  • Çoklu Kiracı HDS, ortak tarafından dağıtıldığında, müşteri kuruluşlarının tüm kullanıcıları ve ortak kuruluşun kullanıcıları, şifreleme hizmetleri için Çoklu Kiracı HDS'den yararlanmaya başlar.

    Yönettikleri ortak kuruluş ve müşteri kuruluşları aynı Multi-Tenant HDS dağıtımında olacak.

    Çoklu Kiracı HDS dağıtıldıktan sonra ortak kuruluş artık bulut KMS'yi kullanmayacaktır.

  • HDS dağıtımından sonra anahtarları Cloud KMS'ye geri taşımak için bir mekanizma yoktur.
  • Şu anda, her Çok Kiracılı HDS dağıtımında yalnızca bir küme ve altında birden fazla düğüm bulunabilir.
  • Yönetici rollerinin belirli sınırlamaları vardır; ayrıntılar için aşağıdaki bölüme bakın.

Çok Kiracılı Hibrit Veri Güvenliğindeki Roller

  • Ortak tam Yöneticisi - Ortağın yönettiği tüm müşteriler için ayarları yönetebilir. Ayrıca kuruluştaki mevcut kullanıcılara yönetici rolleri atayabilir ve belirli müşterilerin iş ortağı yöneticileri tarafından yönetilmesi için atama yapabilirler.
  • Ortak yöneticisi - Yönetici tarafından sağlanan veya kullanıcıya atanmış olan müşteriler için ayarları yönetebilir.
  • Tam yönetici - Kuruluş ayarlarını değiştirme, lisansları yönetme ve rolleri atama gibi görevleri yürütme yetkisine sahip ortak kuruluşun yöneticisi.
  • Tüm müşteri kuruluşlarının uçtan uca Çok Kiracılı HDS kurulumu ve yönetimi - Ortak tam yöneticisi ve Tam yönetici hakları gereklidir.
  • Atanmış kiracı kuruluşlarının yönetimi - Ortak yönetici ve Tam yönetici hakları gereklidir.

Güvenlik Alanı Mimarisi

Webex bulut mimarisi, aşağıda gösterildiği gibi farklı hizmet türlerini ayrı alanlara veya güven etki alanlarına ayırır.

Ayrılık Diyarları (Hibrit Veri Güvenliği Olmadan)

Hibrit Veri Güvenliğini daha iyi anlamak için öncelikle Cisco'nun tüm fonksiyonları bulut ortamında sağladığı bu saf bulut örneğine bakalım. Kullanıcıların e-posta adresi gibi kişisel bilgileriyle doğrudan ilişkilendirilebildiği tek yer olan kimlik hizmeti, mantıksal ve fiziksel olarak veri merkezi B'deki güvenlik alanından ayrıdır. Her ikisi de şifrelenmiş içeriğin nihai olarak depolandığı veri merkezi C'den ayrıdır.

Bu diyagramda istemci, kullanıcının dizüstü bilgisayarında çalışan Webex Uygulamasıdır ve kimlik hizmetiyle kimlik doğrulaması yapmıştır. Kullanıcı bir alana gönderilecek mesajı oluşturduğunda şu adımlar gerçekleşir:

  1. İstemci, anahtar yönetim hizmeti (KMS) ile güvenli bir bağlantı kurar, ardından mesajı şifrelemek için bir anahtar ister. Güvenli bağlantı ECDH'yi kullanır ve KMS, anahtarı AES-256 ana anahtarı kullanarak şifreler.

  2. Mesaj istemciden ayrılmadan önce şifrelenir. İstemci bunu, içerik için gelecekte yapılacak aramalara yardımcı olmak üzere şifrelenmiş arama dizinleri oluşturan dizinleme hizmetine gönderir.

  3. Şifrelenmiş mesaj, uyumluluk kontrolleri için uyumluluk servisine gönderilir.

  4. Şifrelenmiş mesaj depolama alanında saklanır.

Hibrit Veri Güvenliğini dağıttığınızda, güvenlik alanı işlevlerini (KMS, dizinleme ve uyumluluk) şirket içi veri merkezinize taşırsınız. Webex'i oluşturan diğer bulut hizmetleri (kimlik ve içerik depolama dahil) Cisco'nun yetki alanında kalmaya devam ediyor.

Diğer Kuruluşlarla İşbirliği Yapmak

Kuruluşunuzdaki kullanıcılar, diğer kuruluşlardaki harici katılımcılarla iş birliği yapmak için Webex Uygulamasını düzenli olarak kullanabilir. Kullanıcılarınızdan biri kuruluşunuza ait bir alan için anahtar istediğinde (çünkü bu alan kullanıcılarınızdan biri tarafından oluşturulmuştur), KMS'niz anahtarı ECDH güvenli bir kanal üzerinden istemciye gönderir. Ancak, alanın anahtarı başka bir kuruluşa ait olduğunda, KMS'niz anahtarı uygun KMS'den almak için isteği ayrı bir ECDH kanalı aracılığıyla Webex bulutuna yönlendirir ve ardından anahtarı orijinal kanaldaki kullanıcınıza geri gönderir.

Org A üzerinde çalışan KMS servisi, x.509 PKI sertifikalarını kullanan diğer kuruluşlardaki KMS'lere olan bağlantıları doğrular. Çoklu Kiracı Hibrit Veri Güvenliği dağıtımınızla birlikte kullanmak üzere x.509 sertifikası oluşturma hakkında ayrıntılar için Ortamınızı Hazırlayın bölümüne bakın.

Hibrit Veri Güvenliğinin Dağıtımına İlişkin Beklentiler

Hibrit Veri Güvenliği dağıtımı, önemli bir bağlılık ve şifreleme anahtarlarına sahip olmanın beraberinde getirdiği risklerin farkında olmayı gerektirir.

Hibrit Veri Güvenliğini dağıtmak için şunları sağlamanız gerekir:

  • Cisco Webex Teams planlarıiçin desteklenen bir konum olan bir ülkedeki güvenli bir veri merkezi.

  • Ortamınızı Hazırlayınbölümünde açıklanan ekipman, yazılım ve ağ erişimi.

Hibrit Veri Güvenliği için oluşturduğunuz yapılandırma ISO'sunun veya sağladığınız veritabanının tamamen kaybolması, anahtarların kaybolmasına neden olur. Anahtar kaybı, kullanıcıların Webex Uygulamasında alan içeriğini ve diğer şifrelenmiş verileri şifresini çözmesini engeller. Eğer böyle bir durum olursa yeni bir dağıtım oluşturabilirsiniz ancak yalnızca yeni içerik görünür olacaktır. Verilere erişim kaybını önlemek için şunları yapmalısınız:

  • Veritabanının ve yapılandırma ISO'sunun yedeklemesini ve kurtarmasını yönetin.

  • Veritabanı disk arızası veya veri merkezi felaketi gibi bir felaket meydana gelirse hızlı bir felaket kurtarma işlemi gerçekleştirmeye hazır olun.

HDS dağıtımından sonra anahtarları Buluta geri taşımak için bir mekanizma yoktur.

Yüksek seviyeli Kurulum süreci

Bu belge, Çok Kiracılı Hibrit Veri Güvenliği dağıtımının kurulumunu ve yönetimini kapsar:

  • Hibrit Veri Güvenliğini Ayarlayın—Bu, gerekli altyapıyı hazırlamayı ve Hibrit Veri Güvenliği yazılımını yüklemeyi, bir HDS kümesi oluşturmayı, kiracı kuruluşları kümeye eklemeyi ve Müşteri Ana Anahtarlarını (CMK'lar) yönetmeyi içerir. Bu, müşteri kuruluşlarınızdaki tüm kullanıcıların güvenlik işlevleri için Hibrit Veri Güvenliği kümenizi kullanmasını sağlayacaktır.

    Kurulum, aktivasyon ve yönetim aşamaları sonraki üç bölümde detaylı olarak ele alınmaktadır.

  • Hibrit Veri Güvenliği dağıtımınızı sürdürün—Webex bulutu otomatik olarak sürekli yükseltmeler sağlar. BT departmanınız bu dağıtım için birinci kademe destek sağlayabilir ve gerektiğinde Cisco desteğinden yararlanabilir. Partner Hub'da ekran üstü bildirimleri kullanabilir ve e-posta tabanlı uyarılar ayarlayabilirsiniz.

  • Genel uyarıları, sorun giderme adımlarını ve bilinen sorunları anlayın— Hibrit Veri Güvenliğini dağıtırken veya kullanırken sorun yaşarsanız, bu kılavuzun son bölümü ve Bilinen Sorunlar eki sorunu belirlemenize ve düzeltmenize yardımcı olabilir.

Hibrit Veri Güvenliği Dağıtım Modeli

Kurumsal veri merkezinizde, Hibrit Veri Güvenliğini ayrı sanal ana bilgisayarlarda tek bir düğüm kümesi olarak dağıtırsınız. Düğümler, güvenli web soketleri ve güvenli HTTP aracılığıyla Webex bulutuyla iletişim kurar.

Kurulum işlemi sırasında, sağladığınız VM'lerde sanal cihazı kurmanız için OVA dosyasını size sağlıyoruz. Her düğüme bağlayacağınız özel bir küme yapılandırması ISO dosyası oluşturmak için HDS Kurulum Aracını kullanırsınız. Hibrit Veri Güvenliği kümesi, sağladığınız Syslogd sunucunuzu ve PostgreSQL veya Microsoft SQL Server veritabanını kullanır. (Syslogd ve veritabanı bağlantı ayrıntılarını HDS Kurulum Aracında yapılandırırsınız.)

Hibrit Veri Güvenliği Dağıtım Modeli

Bir kümede bulunabilecek minimum düğüm sayısı ikidir. Her küme için en az üç tane öneriyoruz. Birden fazla düğümün olması, bir düğümdeki yazılım yükseltmesi veya diğer bakım faaliyetleri sırasında hizmetin kesintiye uğramamasını sağlar. (Webex bulutu aynı anda yalnızca bir düğümü yükseltir.)

Bir kümedeki tüm düğümler aynı anahtar veri deposuna erişir ve etkinliği aynı syslog sunucusuna kaydeder. Düğümlerin kendileri durumsuzdur ve bulut tarafından yönlendirildiği şekilde anahtar isteklerini sırayla işler.

Düğümler Partner Hub'a kayıt olduğunuzda aktif hale gelir. Bireysel bir düğümü hizmet dışı bırakmak için, onun kaydını silebilir ve daha sonra gerekirse yeniden kaydedebilirsiniz.

Felaket Kurtarma için Bekleme Veri Merkezi

Dağıtım sırasında güvenli bir bekleme veri merkezi kurarsınız. Veri merkezi felaketi durumunda, dağıtımınızı manuel olarak beklemedeki veri merkezine aktarabilirsiniz.

Yedekleme öncesinde Veri Merkezi A'da etkin HDS düğümleri ve birincil PostgreSQL veya Microsoft SQL Server veritabanı bulunurken, B'de ek yapılandırmalara sahip ISO dosyasının bir kopyası, kuruluşa kayıtlı sanal makineler ve bir bekleme veritabanı bulunur. Yedekleme sonrasında Veri Merkezi B'de etkin HDS düğümleri ve birincil veritabanı bulunurken, A'da kayıtlı olmayan sanal makineler ve ISO dosyasının bir kopyası bulunur ve veritabanı bekleme modundadır.
Bekleme Veri Merkezine Manuel Devralma

Aktif ve beklemedeki veri merkezlerinin veritabanları birbirleriyle senkronize olduğundan, yedeklemenin gerçekleştirilme süresi en aza indirilecektir.

Etkin Hibrit Veri Güvenliği düğümleri her zaman etkin veritabanı sunucusuyla aynı veri merkezinde olmalıdır.

Proxy desteği

Karma veri güvenliği, açık, şeffaf İnceleme ve görünmeyen proxy 'leri destekler. Bu proxy 'leri dağıtımınıza, kurumsal trafiği buluta kadar korumaya ve izlemeye imkan tanıyan şekilde paylaşabilirsiniz. Sertifika yönetimi için düğümlerde bir platform yönetici arayüzü kullanabilir ve düğümlerde proxy 'yi kurduktan sonra genel bağlantı durumunu kontrol edebilirsiniz.

Karma veri güvenliği düğümleri aşağıdaki Proxy seçeneklerini destekler:

  • Proxy yok— HDS düğüm kurulumunu kullanmıyorsanız varsayılan değer Güven Deposu & Proxy'yi entegre etmek için proxy yapılandırması. Sertifika güncellemesi gerekmiyor.

  • Şeffaf, denetlemeyen proxy— Düğümler belirli bir proxy sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlemeyen bir proxy ile çalışmak için herhangi bir değişikliğe ihtiyaç duymamalıdır. Sertifika güncellemesi gerekmiyor.

  • Şeffaf tünelleme veya inceleme proxy'si— Düğümler belirli bir proxy sunucu adresini kullanacak şekilde yapılandırılmamıştır. Düğümlerde hiçbir HTTP veya HTTPS yapılandırma değişikliği gerekmez. Ancak düğümlerin, proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).

  • Açık proxy— Açık proxy ile HDS düğümlerine hangi proxy sunucusunu ve kimlik doğrulama şemasını kullanacaklarını söylersiniz. Bir açık proxy yapılandırmak için her bir düğüme aşağıdaki bilgileri girmeniz gerekir:

    1. Vekil IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.

    2. Proxy Bağlantı Noktası—Proxy'nin proxy trafiğini dinlemek için kullandığı bir bağlantı noktası numarası.

    3. Proxy Protokolü—Proxy sunucunuzun desteklediği protokollere bağlı olarak aşağıdaki protokoller arasından seçim yapın:

      • HTTP — istemcinin gönderdiği tüm istekleri görüntüler ve kontrol eder.

      • HTTPS-sunucuya bir kanal sağlar. İstemci, sunucunun sertifikasını alır ve doğrular.

    4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulaması gerekmez.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

      • Temel— Bir HTTP Kullanıcı Aracısının bir istekte bulunurken kullanıcı adı ve parola sağlaması için kullanılır. Base64 kodlamayı kullanır.

        Proxy protokolü olarak HTTP veya HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

      • Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca proxy protokolü olarak HTTPS 'yi seçerseniz kullanılabilir.

        Her bir düğümdeki kullanıcı adı ve parolayı girmenizi gerekli kılar.

Karma veri güvenliği düğümleri ve proxy 'Si örneği

Bu diyagramda karma veri güvenliği, ağ ve proxy arasında örnek bir bağlantı gösterilmektedir. Saydam inceleniyor ve HTTPS EXPLICIT, proxy seçeneklerini incelemek için proxy 'ye ve karma veri güvenlik düğümlerine aynı kök sertifika yüklenmelidir.

Engellenmiş harici DNS çözünürlük modu (açık proxy yapılandırmaları)

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Dahili istemciler için harici DNS çözümlemesine izin vermediği açık proxy yapılandırmaları olan dağıtımlarda, düğüm DNS sunucularını sorgulayamazsa otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer. Bu modda, düğüm kaydı ve diğer proxy bağlantısı testleri devam edebilir.

Ortamınızı hazırlama

Çok Kiracılı Hibrit Veri Güvenliği için Gereksinimler

Cisco Webex Lisans Gereksinimleri

Çok Kiracılı Hibrit Veri Güvenliğini dağıtmak için:

  • Ortak Kuruluşlar: Cisco iş ortağınız veya hesap yöneticinizle iletişime geçin ve Çoklu Kiracı özelliğinin etkinleştirildiğinden emin olun.

  • Kiracı Örgütleri: Cisco Webex Control Hub için Pro Pack'e sahip olmanız gerekir. (Görmek https://www.cisco.com/go/pro-pack.)

Docker Masaüstü Gereksinimleri

HDS düğümlerinizi kurmadan önce, bir kurulum programını çalıştırmak için Docker Desktop'a ihtiyacınız var. Docker yakın zamanda lisanslama modelini güncelledi. Organizasyonsanız Docker Masaüstü için ücretli bir abonelik gerekli olabilir. Ayrıntılar için " Docker Ürün Aboneliklerimizi Güncelleniyor ve Uzatıyor" docker blog gönderisini okuyun.

Docker Desktop lisansına sahip olmayan müşteriler, konteynerleri çalıştırmak, yönetmek ve oluşturmak için Podman Desktop gibi açık kaynaklı bir konteyner yönetim aracını kullanabilirler. Ayrıntılar için Podman Desktop'ı kullanarak HDS Kurulum aracını çalıştırma konusuna bakın.

X.509 Sertifika Gereksinimleri

Sertifika zinciri aşağıdaki gereksinimleri karşılamalıdır:

Tablo 1. Hibrit Veri Güvenliği Dağıtımı için X.509 Sertifika Gereksinimleri

Zorunluluk

Ayrıntılar

  • Güvenilir bir Sertifika Yetkilisi (CA) tarafından imzalanmıştır

Varsayılan olarak, Mozilla listesindeki CA'lara (WoSign ve StartCom hariç) https://wiki.mozilla.org/CA:IncludedCAskonumunda güveniriz.

  • Hibrit Veri Güvenliği dağıtımınızı tanımlayan Ortak Ad (CN) alan adını taşır

  • Joker sertifika değil

CN'nin ulaşılabilir veya canlı sunucu olması gerekmez. Kuruluşunuzu yansıtan bir ad kullanmanızı öneririz, örneğin hds.company.com.

CN şunları içermemelidir: * (joker).

CN, Hibrit Veri Güvenliği düğümlerini Webex Uygulaması istemcilerine doğrulamak için kullanılır. Kümenizdeki tüm Hibrit Veri Güvenliği düğümleri aynı sertifikayı kullanır. KMS'niz kendini x.509v3 SAN alanlarında tanımlanan herhangi bir etki alanını değil, CN etki alanını kullanarak tanımlar.

Bu sertifika ile bir düğüm kaydettikten sonra CN alan adının değiştirilmesini desteklemiyoruz.

  • SHA1 olmayan imza

KMS yazılımı, diğer kuruluşların KMS'lerine olan bağlantıları doğrulamak için SHA1 imzalarını desteklemez.

  • Parola korumalı bir PKCS olarak biçimlendirildi #12 dosya

  • Sertifikayı, özel anahtarı ve yüklenecek ara sertifikaları etiketlemek için kms-private-key kullanıcı dostu adını kullanın.

Sertifikanızın formatını değiştirmek için OpenSSL gibi bir dönüştürücü kullanabilirsiniz.

HDS Kurulum Aracını çalıştırdığınızda şifreyi girmeniz gerekecektir.

KMS yazılımı anahtar kullanımı veya genişletilmiş anahtar kullanımı kısıtlamalarını uygulamaz. Bazı sertifika yetkilileri, sunucu kimlik doğrulaması gibi, her sertifikaya genişletilmiş anahtar kullanım kısıtlamalarının uygulanmasını gerektirir. Sunucu kimlik doğrulamasını veya diğer ayarları kullanmanızda bir sakınca yoktur.

Sanal Sunucu Gereksinimleri

Kümenizde Hibrit Veri Güvenliği düğümleri olarak kuracağınız sanal ana bilgisayarların aşağıdaki gereksinimleri vardır:

  • Aynı güvenli veri merkezinde en az iki ayrı ana bilgisayar (3 önerilir) birlikte konumlandırılmalıdır

  • VMware ESXi 7.0 veya 8.0 kurulu ve çalışıyor.

    Daha eski bir ESXi sürümüne sahipseniz yükseltmeniz gerekir.

  • Sunucu başına minimum 4 vCPU, 8 GB ana bellek, 30 GB yerel sabit disk alanı

Veritabanı sunucusu gereksinimleri

Anahtar depolaması için yeni bir veritabanı oluşturun. Varsayılan veritabanını kullanmayın. HDS uygulamaları kurulduğunda veritabanı şemasını oluşturur.

Veritabanı sunucusu için iki seçenek bulunmaktadır. Her biri için gereklilikler şunlardır:

Tablo 2. Veritabanı türüne göre veritabanı sunucusu gereksinimleri

PostgreSQL

Microsoft SQL Sunucusu

  • PostgreSQL 14, 15 veya 16 yüklü ve çalışıyor.

  • SQL Server 2016, 2017, 2019 veya 2022 (Enterprise veya Standard) yüklü.

    SQL Server 2016, Service Pack 2 ve Cumulative Update 2 veya sonraki sürümlerini gerektirir.

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve bunun aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

Minimum 8 vCPU, 16 GB ana bellek, yeterli sabit disk alanı ve bunun aşılmamasını sağlamak için izleme (depolama alanını artırmaya gerek kalmadan veritabanını uzun süre çalıştırmak istiyorsanız 2 TB önerilir)

HDS yazılımı şu anda veritabanı sunucusuyla iletişim için aşağıdaki sürücü sürümlerini yüklüyor:

PostgreSQL

Microsoft SQL Sunucusu

Postgres JDBC sürücüsü 42.2.5

SQL Server JDBC sürücüsü 4.6

Bu sürücü sürümü SQL Server Always On'u destekler ( Always On Yük Devretme Kümesi Örnekleri ve Always On kullanılabilirlik grupları).

Microsoft SQL Server'a karşı Windows kimlik doğrulaması için ek gereksinimler

HDS düğümlerinin Microsoft SQL Server üzerindeki anahtar deposu veritabanınıza erişmek için Windows kimlik doğrulamasını kullanmasını istiyorsanız, ortamınızda aşağıdaki yapılandırmaya ihtiyacınız vardır:

  • HDS düğümleri, Active Directory altyapısı ve MS SQL Server'ın tümünün NTP ile senkronize edilmesi gerekir.

  • HDS düğümlerine sağladığınız Windows hesabının şu özelliklere sahip olması gerekir: read/write Veritabanına erişim.

  • HDS düğümlerine sağladığınız DNS sunucuları Anahtar Dağıtım Merkezinizi (KDC) çözebilmelidir.

  • HDS veritabanı örneğini Microsoft SQL Server'ınızda Active Directory'nizde bir Hizmet Asıl Adı (SPN) olarak kaydedebilirsiniz. Bkz. Kerberos Bağlantıları için Bir Hizmet Yöneticisi Adı Kaydetme.

    HDS kurulum aracı, HDS başlatıcısı ve yerel KMS'nin anahtar deposu veritabanına erişmek için Windows kimlik doğrulamasını kullanması gerekir. Kerberos kimlik doğrulamasıyla erişim isteğinde bulunduklarında SPN'yi oluşturmak için ISO yapılandırmanızdaki ayrıntıları kullanırlar.

Harici bağlantı gereksinimleri

Güvenlik duvarınızı HDS uygulamaları için aşağıdaki bağlantıya izin verecek şekilde yapılandırın:

Uygulama

Protokol

Bağlantı Noktası

Uygulamadan Yönlendirme

Varış noktası

Hibrit Veri Güvenliği düğümleri

TCP

443

Giden HTTPS ve WSS

  • Webex sunucuları:

    • *.wbx2.com

    • *.ciscospark.com

  • Tüm Ortak Kimlik sunucuları

  • Webex Hibrit Hizmetleri için Ek URL'ler tablosunda Hibrit Veri Güvenliği için listelenen diğer URL'ler Webex Hizmetleri için Ağ Gereksinimleri

HDS Kurulum Aracı

TCP

443

Giden HTTPS

  • *.wbx2.com

  • Tüm Ortak Kimlik sunucuları

  • hub.docker.com

Hibrit Veri Güvenliği düğümleri, önceki tabloda yer alan etki alanı hedeflerine gerekli giden bağlantılara izin verdiği sürece, ağ erişim çevirisi (NAT) ile veya bir güvenlik duvarının arkasında çalışır. Hibrit Veri Güvenliği düğümlerine giden bağlantılar için internetten hiçbir port görünmemelidir. Veri merkezinizde, istemcilerin yönetimsel amaçlar için TCP 443 ve 22 portlarındaki Hibrit Veri Güvenliği düğümlerine erişmesi gerekir.

Ortak Kimlik (CI) ana bilgisayarlarının URL'leri bölgeye özgüdür. Şu anki CI ana bilgisayarları şunlardır:

Bölge

Ortak Kimlik Ana Bilgisayar URL'leri

Kuzey ve Güney Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Avrupa Birliği

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Kanada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapur

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Birleşik Arap Emirlikleri

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Proxy sunucusu gereksinimleri

  • Karma veri güvenliği düğümlerinizle entegre olabilecek aşağıdaki proxy çözümlerini resmi olarak destekliyoruz.

  • Açık proxy 'ler için aşağıdaki kimlik doğrulama türü birleşimlerini destekliyoruz:

    • HTTP veya HTTPS ile kimlik doğrulaması yok

    • HTTP veya HTTPS ile temel kimlik doğrulama

    • Yalnızca HTTPS ile Özet kimlik doğrulaması

  • Bir saydam İnceleme proxy 'si veya HTTPS açık proxy için, proxy 'nin kök sertifika bir kopyasına sahip olmanız gerekir. Bu kılavuzdaki dağıtım talimatları, kopyanın karma veri güvenliği düğümlerinin güven depolarına nasıl yükleneceğini bildirir.

  • HDS düğümlerini barındıran ağ, bağlantı noktası 443 ' de giden TCP trafiğini proxy üzerinden yönlendirmede zorlayacak şekilde yapılandırılmalıdır.

  • Web trafiğini bildiren proxy 'ler, Web soketleriyle çakışabilir. Bu sorun oluşursa, wbx2.com ve ciscospark.com ' e giden trafiği atlamak (denetlememek) sorunu çözecektir.

Hibrit Veri Güvenliği için Ön Koşulları Tamamlayın

Hibrit Veri Güvenliği kümenizi kurmaya ve yapılandırmaya hazır olduğunuzdan emin olmak için bu kontrol listesini kullanın.
1

Ortak kuruluşunuzda Multi-Tenant HDS özelliğinin etkinleştirildiğinden emin olun ve ortak tam yönetici ve tam yönetici haklarına sahip bir hesabın kimlik bilgilerini edinin. Webex müşteri kuruluşunuzun Cisco Webex Control Hub için Pro Pack'i etkinleştirdiğinden emin olun. Bu süreçte yardım almak için Cisco iş ortağınız veya hesap yöneticinizle iletişime geçin.

Müşteri kuruluşlarının mevcut bir HDS dağıtımının olmaması gerekir.

2

HDS dağıtımınız için bir alan adı seçin (örneğin, hds.company.com) ve bir X.509 sertifikası, özel anahtar ve tüm ara sertifikaları içeren bir sertifika zinciri edinin. Sertifika zinciri X.509 Sertifika Gereksinimleribölümündeki gereksinimleri karşılamalıdır.

3

Kümenizde Hibrit Veri Güvenliği düğümleri olarak kuracağınız özdeş sanal ana bilgisayarları hazırlayın. Aynı güvenli veri merkezinde, Sanal Ana Bilgisayar Gereksinimleribölümündeki gereksinimleri karşılayan en az iki ayrı ana bilgisayara (3 önerilir) ihtiyacınız vardır.

4

Veritabanı sunucusu gereksinimlerinegöre küme için anahtar veri deposu görevi görecek veritabanı sunucusunu hazırlayın. Veritabanı sunucusunun sanal sunucularla birlikte güvenli veri merkezinde bulunması gerekir.

  1. Anahtar depolaması için bir veritabanı oluşturun. (Bu veritabanını kendiniz oluşturmalısınız; varsayılan veritabanını kullanmayın. HDS uygulamaları kurulduğunda veritabanı şemasını oluşturur.)

  2. Düğümlerin veritabanı sunucusuyla iletişim kurmak için kullanacağı ayrıntıları toplayın:

    • ana bilgisayar adı veya IP adresi (ana bilgisayar) ve bağlantı noktası

    • anahtar depolama için veritabanının adı (dbname)

    • anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının kullanıcı adı ve parolası

5

Hızlı bir felaket kurtarma için farklı bir veri merkezinde yedekleme ortamı kurun. Yedekleme ortamı, sanal makinelerin üretim ortamını ve bir yedekleme veritabanı sunucusunu yansıtır. Örneğin, üretim ortamında HDS düğümlerini çalıştıran 3 sanal makine varsa, yedekleme ortamında da 3 sanal makine bulunmalıdır.

6

Kümedeki düğümlerden günlükleri toplamak için bir syslog ana bilgisayarı ayarlayın. Ağ adresini ve syslog portunu toplayın (varsayılan UDP 514'tür).

7

Hibrit Veri Güvenliği düğümleri, veritabanı sunucusu ve syslog ana bilgisayarı için güvenli bir yedekleme politikası oluşturun. En azından, kurtarılamaz veri kaybını önlemek için, Hibrit Veri Güvenliği düğümleri için oluşturulan veritabanını ve yapılandırma ISO dosyasını yedeklemelisiniz.

Hibrit Veri Güvenliği düğümleri, içeriğin şifrelenmesi ve şifresinin çözülmesinde kullanılan anahtarları depoladığından, operasyonel bir dağıtımın sürdürülememesi, söz konusu içeriğin KURTARILAMAZ KAYBI ile sonuçlanacaktır.

Webex Uygulama istemcileri anahtarlarını önbelleğe alır, bu nedenle bir kesinti hemen fark edilmeyebilir ancak zaman içinde belirginleşir. Geçici kesintilerin önlenmesi mümkün olmasa da telafisi mümkündür. Ancak, veritabanının veya yapılandırma ISO dosyasının tamamen kaybolması (yedeklerinin olmaması) durumunda müşteri verileri kurtarılamaz hale gelir. Hibrit Veri Güvenliği düğümlerinin operatörlerinin, veritabanının ve yapılandırma ISO dosyasının sık sık yedeklerini tutmaları ve büyük bir arıza meydana gelmesi durumunda Hibrit Veri Güvenliği veri merkezini yeniden oluşturmaya hazır olmaları beklenmektedir.

8

Güvenlik duvarı yapılandırmanızın , Harici bağlantı gereksinimleribölümünde belirtildiği gibi Hibrit Veri Güvenliği düğümleriniz için bağlantıya izin verdiğinden emin olun.

9

Desteklenen bir işletim sistemini (Microsoft Windows 10 Professional veya Enterprise 64-bit veya Mac OSX Yosemite 10.10.3 veya üzeri) çalıştıran herhangi bir yerel makineye http://127.0.0.1:8080., adresinden erişilebilen bir web tarayıcısıyla Docker'ı ( https://www.docker.com) yükleyin

Tüm Hibrit Veri Güvenliği düğümleri için yerel yapılandırma bilgilerini oluşturan HDS Kurulum Aracını indirmek ve çalıştırmak için Docker örneğini kullanırsınız. Bir Docker Desktop lisansına ihtiyacınız olabilir. Daha fazla bilgi için Docker Masaüstü Gereksinimleri bölümüne bakın.

HDS Kurulum Aracını yüklemek ve çalıştırmak için yerel makinenin Harici bağlantı gereksinimleribölümünde belirtilen bağlantıya sahip olması gerekir.

10

Bir proxy'yi Hibrit Veri Güvenliği ile entegre ediyorsanız, Proxy Sunucusu Gereksinimlerinikarşıladığından emin olun.

Hibrit Veri Güvenliği kümesini kurun

Hibrit Veri Güvenliği Dağıtım Görev Akışı

Başlamadan önce

1

İlk kurulumu gerçekleştirin ve kurulum dosyalarını indirin

Daha sonra kullanmak üzere OVA dosyasını yerel makinenize indirin.

2

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun

Hibrit Veri Güvenliği düğümleri için bir ISO yapılandırma dosyası oluşturmak üzere HDS Kurulum Aracını kullanın.

3

HDS Host OVA'yı yükleyin

OVA dosyasından sanal makine oluşturun ve ağ ayarları gibi ilk yapılandırmayı gerçekleştirin.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ve 8.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

4

Hibrit Veri Güvenliği VM'sini kurun

VM konsolunda oturum açın ve oturum açma kimlik bilgilerini ayarlayın. OVA dağıtımı sırasında yapılandırmadıysanız düğüm için ağ ayarlarını yapılandırın.

5

HDS Yapılandırma ISO'sunu Yükleyin ve Bağlayın

HDS Kurulum Aracı ile oluşturduğunuz ISO yapılandırma dosyasından VM'yi yapılandırın.

6

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy yapılandırması gerektiriyorsa, düğüm için kullanacağınız proxy türünü belirtin ve gerekirse proxy sertifikasını güven deposuna ekleyin.

7

Kümedeki ilk düğümü kaydedin

VM'yi Cisco Webex bulutuna Hibrit Veri Güvenliği düğümü olarak kaydedin.

8

Daha fazla düğüm oluşturun ve kaydedin

Küme kurulumunu tamamlayın.

9

Partner Hub'da Çoklu Kiracı HDS'yi etkinleştirin.

Partner Hub'da HDS'yi etkinleştirin ve kiracı organizasyonlarını yönetin.

İlk kurulumu gerçekleştirin ve kurulum dosyalarını indirin

Bu görevde, makinenize bir OVA dosyası indirirsiniz (Hibrit Veri Güvenliği düğümleri olarak kurduğunuz sunuculara değil). Bu dosyayı kurulum sürecinin ilerleyen aşamalarında kullanacaksınız.

1

Partner Hub'da oturum açın ve ardından Hizmetleröğesine tıklayın.

2

Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği kartını bulun ve ardından Ayarlaöğesine tıklayın.

Partner Hub'da Kurulum öğesine tıklamak dağıtım süreci için kritik öneme sahiptir. Bu adımı tamamlamadan kuruluma devam etmeyin.

3

Kaynak ekle öğesine tıklayın ve Yazılımı Yükle ve Yapılandır kartında.OVA dosyasını indir [] öğesine tıklayın.

Yazılım paketinin eski sürümleri (OVA), en son Hibrit Veri Güvenliği yükseltmeleriyle uyumlu olmayacaktır. Bu durum, uygulamanın güncellenmesi sırasında sorunlara yol açabilir. OVA dosyasının en son sürümünü indirdiğinizden emin olun.

Ayrıca OVA'yı istediğiniz zaman Yardım bölümünden indirebilirsiniz. Ayarlar öğesine tıklayın > Yardım > Hibrit Veri Güvenliği yazılımını indirin.

OVA dosyası otomatik olarak indirilmeye başlar. Dosyayı bilgisayarınızdaki bir konuma kaydedin.
4

İsteğe bağlı olarak, bu kılavuzun daha sonraki bir sürümünün mevcut olup olmadığını kontrol etmek için Hibrit veri güvenliği dağıtım kılavuzuna bakın öğesine tıklayın.

HDS Ana Bilgisayarları için bir Yapılandırma ISO'su Oluşturun

Hibrit Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Daha sonra ISO'yu kullanarak Hibrit Veri Güvenliği ana bilgisayarınızı yapılandırabilirsiniz.

Başlamadan önce
1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı , aracılığıyla localhost'a bağlanmayı desteklemiyor http://localhost:8080. Localhost'a bağlanmak için http://127.0.0.1:8080 kullanın.

Bir web tarayıcısı kullanarak yerel ana bilgisayara http://127.0.0.1:8080gidin ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, kullanıcı adının bu ilk girişini, söz konusu hesap için uygun ortamı ayarlamak amacıyla kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

İstendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Hibrit Veri Güvenliği için gerekli hizmetlere erişime izin vermek üzere Oturum aç öğesine tıklayın.

8

Kurulum Aracı genel bakış sayfasında Başlayınöğesine tıklayın.

9

ISO İçe Aktarma sayfasında şu seçenekler bulunur:

  • Hayır—İlk HDS düğümünüzü oluşturuyorsanız, yükleyebileceğiniz bir ISO dosyanız yok.
  • Evet—Eğer HDS düğümleri oluşturduysanız, tarayıcıda ISO dosyanızı seçip yükleyin.
10

X.509 sertifikanızın X.509 Sertifika Gereksinimleribölümündeki gereksinimleri karşıladığını kontrol edin.

  • Daha önce hiç sertifika yüklemediyseniz, X.509 sertifikasını yükleyin, parolayı girin ve Devam' a tıklayın.
  • Sertifikanız uygunsa Devam' a tıklayın.
  • Sertifikanızın süresi dolduysa veya değiştirmek istiyorsanız, [ ] Önceki ISO'dan HDS sertifika zinciri ve özel anahtarını kullanmaya devam edilsin mi? için Hayır seçeneğini belirleyin. Yeni bir X.509 sertifikası yükleyin, parolayı girin ve Devamöğesine tıklayın.
11

HDS'nin anahtar veri deponuza erişmesi için veritabanı adresini ve hesabını girin:

  1. Veritabanı Türünüzü (PostgreSQL veya Microsoft SQL Server) seçin.

    Microsoft SQL Serverseçerseniz, bir Kimlik Doğrulama Türü alanı alırsınız.

  2. (Yalnızca Microsoft SQL Server ) Kimlik Doğrulama Türünüzüseçin :

    • Temel Kimlik Doğrulama: Kullanıcı Adı alanına yerel bir SQL Server hesap adına ihtiyacınız var.

    • Windows Kimlik Doğrulaması: [ username@DOMAIN Kullanıcı Adı [ alanında biçiminde bir Windows hesabına ihtiyacınız var.

  3. Veritabanı sunucu adresini : veya :biçiminde girin.

    Örnek:
    dbhost.example.org:1433 veya 198.51.100.17:1433

    Düğümler ana bilgisayar adını çözümlemek için DNS kullanamıyorsa, temel kimlik doğrulaması için bir IP adresi kullanabilirsiniz.

    Windows kimlik doğrulamasını kullanıyorsanız, şu biçimde Tam Nitelikli Alan Adı girmelisiniz: dbhost.example.org:1433

  4. Veritabanı Adınıgirin.

  5. Anahtar depolama veritabanında tüm ayrıcalıklara sahip bir kullanıcının Kullanıcı Adını ve Parolasını girin.

12

TLS Veritabanı Bağlantı Modunu seçin:

Mode

Açıklama

TLS'yi tercih et (varsayılan seçenek)

HDS düğümleri, veritabanı sunucusuna bağlanmak için TLS gerektirmez. Veritabanı sunucusunda TLS'yi etkinleştirirseniz, düğümler şifreli bir bağlantı dener.

TLS gerektir

HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

TLS gerektir ve sertifika imzacısını doğrula

Bu mod SQL Server veritabanları için geçerli değildir.

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı kurulduktan sonra düğüm, veritabanı sunucusundan gelen sertifikanın imzalayıcısını Veritabanı kök sertifikasındakisertifika yetkilisiyle karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

TLS gerektir ve sertifika imzacısını ve ana bilgisayar adını doğrulayın

  • HDS düğümleri, yalnızca veritabanı sunucusu TLS anlaşmasıabiliyorsa bağlantı kurabiliyor.

  • TLS bağlantısı kurulduktan sonra düğüm, veritabanı sunucusundan gelen sertifikanın imzalayıcısını Veritabanı kök sertifikasındakisertifika yetkilisiyle karşılaştırır. Eşleşmezse düğüm bağlantıyı düşürer.

  • Düğümler ayrıca sunucu sertifikasındaki ana bilgisayar adının Veritabanı ana bilgisayarı ve bağlantı noktası alanındaki ana bilgisayar adıyla eşleştiğini doğrular. Adlar tam olarak eşleşmeli veya düğüm bağlantıyı düşürer.

Bu seçenek kök sertifika dosyaları yüklemek için açılır listenin altındaki Veritabanı kök sertifika kontrollerini kullanın.

Kök sertifikayı yüklediğinizde (gerekirse) ve Devam' a tıkladığınızda, HDS Kurulum Aracı veritabanı sunucusuna olan TLS bağlantısını test eder. Araç, varsa sertifika imzacısını ve ana bilgisayar adını da doğrular. Bir test başarısız olursa araç sorunu açıklayan bir hata iletisi gösterir. Hatayı göz ardı edip etmemenizi ve kuruluma devam edip etmemenizi seçebilirsiniz. (Bağlantı farklılıkları nedeniyle, HDS Kurulum Aracı makinesi bunu başarıyla test edemese bile HDS düğümleri TLS bağlantısını kurabilir.)

13

Sistem Günlükleri sayfasında Syslogd sunucunuzu yapılandırın:

  1. Syslog sunucu URL'sini girin.

    Sunucu HDS kümenizdeki düğümlerden DNS çözümlenebilir değilse, URL'de bir IP adresi kullanın.

    Örnek:
    udp://10.92.43.23:514 Syslogd ana bilgisayarı 10.92.43.23'ün UDP portu 514'e günlük kaydı yapıldığını gösterir.

  2. Sunucunuzu TLS şifrelemesini kullanacak şekilde ayarladıysanız, Syslog sunucunuz SSL şifrelemesi için yapılandırılmış mı?öğesini kontrol edin.

    Bu onay kutusunu işaretlerseniz, tcp://10.92.43.23:514gibi bir TCP URL'si girdiğinizden emin olun.

  3. Syslog kaydı sonlandırmayı seçin açılır menüsünden ISO dosyanız için uygun ayarı seçin: Graylog ve Rsyslog TCP için Choose veya Newline kullanılır

    • Boş bayt -- \x00

    • Yeni satır -- \n—Graylog ve Rsyslog TCP için bu seçeneği seçin.

  4. Devam Et'e tıklayın.

14

(İsteğe bağlı) Bazı veritabanı bağlantı parametrelerinin varsayılan değerini Gelişmiş Ayarlar' dan değiştirebilirsiniz. Genellikle, değiştirmek isteyebileceğiniz tek parametre budur:

app_datasource_connection_pool_maxSize: 10
15

Hizmet Hesapları Parolasını Sıfırla ekranında [ Devam [] öğesine tıklayın.

Servis hesabı şifrelerinin dokuz aylık bir ömrü vardır. Şifrelerinizin süresi dolmak üzere olduğunda veya önceki ISO dosyalarını geçersiz kılmak için sıfırlamak istediğinizde bu ekranı kullanın.

16

ISO Dosyasını İndiröğesine tıklayın. Dosyayı kolayca bulunabilecek bir yere kaydedin.

17

ISO dosyasının bir yedek kopyasını yerel sisteminizde oluşturun.

Yedek kopyayı güvenli bir yerde saklayın. Bu dosya veritabanı içerikleri için ana şifreleme anahtarını içerir. Erişimi yalnızca yapılandırma değişikliklerini yapması gereken Hibrit Veri Güvenliği yöneticileriyle sınırlayın.

18

Kurulum aracını kapatmak için CTRL+Cyazın.

Sonraki işlemler

Yapılandırma ISO dosyasını yedekleyin. Kurtarma için daha fazla düğüm oluşturmak veya yapılandırma değişiklikleri yapmak için buna ihtiyacınız var. ISO dosyasının tüm kopyalarını kaybederseniz, ana anahtarı da kaybetmiş olursunuz. PostgreSQL veya Microsoft SQL Server veritabanınızdan anahtarları kurtarmak mümkün değildir.

Bu anahtarın bir kopyasına asla sahip değiliz ve kaybetmeniz durumunda size yardımcı olamayız.

HDS Host OVA'yı yükleyin

OVA dosyasından sanal makine oluşturmak için bu prosedürü kullanın.
1

Bilgisayarınızdaki VMware vSphere istemcisini kullanarak ESXi sanal ana bilgisayarında oturum açın.

2

Dosya ' yı seçin > OVF Şablonunu Dağıtın.

3

Sihirbazda, daha önce indirdiğiniz OVA dosyasının konumunu belirtin ve ardından İleriöğesine tıklayın.

4

Bir ad ve klasör seçin sayfasında, düğüm için Sanal makine adı girin (örneğin, "HDS_Node_1"), sanal makine düğüm dağıtımının bulunabileceği bir konum seçin ve ardından İleriöğesine tıklayın.

5

Bir hesaplama kaynağı seçin sayfasında, hedef hesaplama kaynağını seçin ve ardından İleriöğesine tıklayın.

Bir doğrulama kontrolü çalıştırılır. İşlem tamamlandıktan sonra şablon detayları görünecektir.

6

Şablon ayrıntılarını doğrulayın ve ardından İleriöğesine tıklayın.

7

Yapılandırma sayfasında kaynak yapılandırmasını seçmeniz istenirse 4 CPU öğesine tıklayın ve ardından İleriöğesine tıklayın.

8

Depolamayı seçin sayfasında, varsayılan disk biçimini ve VM depolama ilkesini kabul etmek için İleri öğesine tıklayın.

9

Ağları seçin sayfasında, VM'ye istenen bağlantıyı sağlamak için girişler listesinden ağ seçeneğini belirleyin.

10

Şablonu özelleştir sayfasında aşağıdaki ağ ayarlarını yapılandırın:

  • Ana Bilgisayar Adı— Düğüm için tam alan adını (ana bilgisayar adı ve etki alanı) veya tek sözcükten oluşan bir ana bilgisayar adı girin.

    • X.509 sertifikasını almak için kullandığınız alan adıyla eşleşmesi için alan adını ayarlamanız gerekmez.

    • Buluta başarılı bir kayıt işlemi sağlamak için, düğüm için ayarladığınız FQDN'de veya ana bilgisayar adında yalnızca küçük harfli karakterler kullanın. Büyük harfe özelleştirme şu anda desteklenmiyor.

    • FQDN'nin toplam uzunluğu 64 karakteri geçmemelidir.

  • IP Adresi— Düğümün dahili arayüzü için IP adresini girin.

    Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

  • Maske—Alt ağ maskesi adresini nokta-ondalık gösteriminde girin. Örneğin, 255.255.255.0.
  • Ağ Geçidi—Ağ geçidi IP adresini girin. Ağ geçidi, başka bir ağa erişim noktası görevi gören bir ağ düğümüdür.
  • DNS Sunucuları— Etki alanı adlarını sayısal IP adreslerine çeviren DNS sunucularının virgülle ayrılmış listesini girin. (En fazla 4 DNS girişi yapılabilir.)
  • NTP Sunucuları— Kuruluşunuzun NTP sunucusunu veya kuruluşunuzda kullanılabilen başka bir harici NTP sunucusunu girin. Varsayılan NTP sunucuları tüm işletmeler için çalışmayabilir. Ayrıca, birden fazla NTP sunucusu girmek için virgülle ayrılmış bir liste de kullanabilirsiniz.

  • Tüm düğümleri aynı alt ağ veya VLAN'a dağıtın; böylece bir kümedeki tüm düğümlere, ağınızdaki istemciler tarafından yönetimsel amaçlarla ulaşılabilir.

İsterseniz, ağ ayarı yapılandırmasını atlayabilir ve ayarları düğüm konsolundan yapılandırmak için Hibrit Veri Güvenliği VM'sini Ayarlama bölümündeki adımları takip edebilirsiniz.

OVA dağıtımı sırasında ağ ayarlarını yapılandırma seçeneği ESXi 7.0 ve 8.0 ile test edilmiştir. Bu seçenek önceki sürümlerde mevcut olmayabilir.

11

Düğüm VM'e sağ tıklayın ve ardından Güç öğesini seçin > Güç Açık.

Hybrid Data Security yazılımı VM Host’a misafir olarak kurulur. Artık konsola giriş yapıp düğümü yapılandırmaya hazırsınız.

Sorun Giderme İpuçları

Düğüm kapsayıcılarının açılmasından önce birkaç dakikalık bir gecikme yaşayabilirsiniz. İlk başlatma sırasında konsolda köprü güvenlik duvarı mesajı görünüyor ve bu sırada oturum açamıyorsunuz.

Hibrit Veri Güvenliği VM'sini kurun

İlk kez Hibrit Veri Güvenliği düğümü VM konsolunda oturum açmak ve oturum açma kimlik bilgilerini ayarlamak için bu prosedürü kullanın. OVA dağıtımı sırasında yapılandırmadıysanız, düğümün ağ ayarlarını yapılandırmak için konsolu da kullanabilirsiniz.

1

VMware vSphere istemcisinde, Hibrit Veri Güvenliği düğüm VM'inizi seçin ve Konsol sekmesini seçin.

Sanal makine başlatılır ve bir oturum açma istemi görüntülenir. Oturum açma istemi görüntülenmezse Entertuşlarına basın.
2

Oturum açmak ve kimlik bilgilerinizi değiştirmek için aşağıdaki varsayılan kullanıcı adı ve parolayı kullanın:

  1. Giriş yapmak: admin

  2. Parola: cisco

Sanal makinenize ilk kez giriş yaptığınız için yönetici parolanızı değiştirmeniz gerekmektedir.

3

HDS Ana Bilgisayar OVA'sını Yüklebölümünde ağ ayarlarını zaten yapılandırdıysanız, bu prosedürün geri kalanını atlayın. Aksi takdirde ana menüde Yapılandırmayı Düzenle seçeneğini seçin.

4

IP adresi, Maske, Ağ Geçidi ve DNS bilgileriyle statik bir yapılandırma ayarlayın. Düğümünüzün dahili bir IP adresi ve DNS adı olmalıdır. DHCP desteklenmiyor.

5

(İsteğe bağlı) Ağ politikanıza uyması için gerekirse ana bilgisayar adını, etki alanını veya NTP sunucusunu değiştirin.

X.509 sertifikasını almak için kullandığınız alan adıyla eşleşmesi için alan adını ayarlamanız gerekmez.

6

Ağ yapılandırmasını kaydedin ve değişikliklerin etkili olması için sanal makineyi yeniden başlatın.

HDS Yapılandırma ISO'sunu Yükleyin ve Bağlayın

HDS Kurulum Aracı ile oluşturduğunuz ISO dosyasından sanal makineyi yapılandırmak için bu prosedürü kullanın.

Başlamadan önce

ISO dosyası ana anahtarı tuttuğu için, yalnızca "bilinmesi gereken" durumlarda, Hibrit Veri Güvenliği Sanal Makineleri ve değişiklik yapması gerekebilecek yöneticiler tarafından erişime açık olmalıdır. Veri deposuna yalnızca bu yöneticilerin erişebildiğinden emin olun.

1

ISO dosyasını bilgisayarınızdan yükleyin:

  1. VMware vSphere istemcisinin sol gezinme bölmesinde ESXi sunucusuna tıklayın.

  2. Yapılandırma sekmesinin Donanım listesinde Depolamaöğesine tıklayın.

  3. Veri Depoları listesinde, VM'lerinizin veri deposuna sağ tıklayın ve Veri Deposuna Gözatöğesine tıklayın.

  4. Dosya Yükle simgesine tıklayın ve ardından Dosya Yükleöğesine tıklayın.

  5. Bilgisayarınızda ISO dosyasını indirdiğiniz konuma gidin ve öğesine tıklayın.

  6. Kabul etmek için Evet ' e tıklayın upload/download işlem uyarısı ve veri deposu iletişim kutusunu kapatın.

2

ISO dosyasını bağlayın:

  1. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  2. Sınırlandırılmış düzenleme seçenekleri uyarısını kabul etmek için Tamam 'a tıklayın.

  3. CD/DVD Drive 1öğesine tıklayın, bir veri deposu ISO dosyasından bağlama seçeneğini belirleyin ve yapılandırma ISO dosyasını yüklediğiniz konuma gidin.

  4. Bağlı ve Güç açıldığında bağlanöğelerini kontrol edin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi yeniden başlatın.

Sonraki işlemler

BT politikanız gerektiriyorsa, tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra isteğe bağlı olarak ISO dosyasını kaldırabilirsiniz. Ayrıntılar için (İsteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Çıkarma bölümüne bakın.

Proxy entegrasyonu için HDS düğümünü yapılandırın

Ağ ortamı proxy gerektiriyorsa karma veri güvenliği ile entegre etmek istediğiniz proxy türünü belirtmek için bu prosedürü kullanın. Bir saydam İnceleme proxy 'si veya HTTPS açık proxy seçerseniz, kök sertifika yüklemek ve yüklemek için düğümün arayüzünü kullanabilirsiniz. Ayrıca arabirimden proxy bağlantısını kontrol edebilir ve olası sorunları giderebilirsiniz.

Başlamadan önce

1

Bir web tarayıcısına HDS düğümü kurulum URL'sini https://[HDS Node IP or FQDN]/setup girin, düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Açöğesine tıklayın.

2

Güven deposu & proxine gidinve bir seçenek belirleyin:

  • Proxy Yok—Bir proxy'yi entegre etmeden önceki varsayılan seçenek. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetlemeyen Proxy—Düğümler belirli bir proxy sunucu adresi kullanacak şekilde yapılandırılmamıştır ve denetlemeyen bir proxy ile çalışmak için herhangi bir değişiklik gerektirmemelidir. Sertifika güncellemesi gerekmiyor.
  • Şeffaf Denetleme Proxy'si—Düğümler belirli bir proxy sunucu adresini kullanacak şekilde yapılandırılmamıştır. Karma veri güvenliği dağıtımında hiçbir HTTPS yapılandırma değişikliği gerekmez, ancak HDS düğümlerinin proxy 'ye güvenmeleri için bir kök sertifika gerekir. Proxy 'leri incelemek, genellikle Web sitelerinin ziyaret edilme ve hangi içerik türlerine izin verilmeyen politikalarını uygulamak için kullanılır. Bu tür bir proxy, tüm trafiğinizin şifresini çözer (yani HTTPS).
  • Açık Proxy— Açık proxy ile istemciye (HDS düğümlerine) hangi proxy sunucusunu kullanacağını söylersiniz ve bu seçenek çeşitli kimlik doğrulama türlerini destekler. Bu seçeneği belirledikten sonra, aşağıdaki bilgileri girmeniz gerekir:

    1. Vekil IP/FQDN—Proxy makinesine ulaşmak için kullanılabilecek adres.

    2. Proxy Bağlantı Noktası—Proxy'nin proxy trafiğini dinlemek için kullandığı bir bağlantı noktası numarası.

    3. Proxy Protokolühttp (istemciden alınan tüm istekleri görüntüler ve denetler) veya https (sunucuya bir kanal sağlar ve istemci sunucunun sertifikasını alır ve doğrular) öğesini seçin. Proxy sunucusu desteklediklerini temel alarak bir seçenek belirleyin.

    4. Kimlik Doğrulama Türü—Aşağıdaki kimlik doğrulama türleri arasından seçim yapın:

      • Yok—Başka bir kimlik doğrulaması gerekmez.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

      • Temel— Bir HTTP Kullanıcı Aracısının bir istekte bulunurken kullanıcı adı ve parola sağlaması için kullanılır. Base64 kodlamayı kullanır.

        HTTP veya HTTPS proxy 'leri için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

      • Özet—Hassas bilgileri göndermeden önce hesabı onaylamak için kullanılır. Ağ üzerinden göndermeden önce kullanıcı adı ve parola üzerinde bir karma işlevi uygular.

        Yalnızca HTTPS proxy 'ler için kullanılabilir.

        Bu seçeneği belirlerseniz kullanıcı adı ve parolasını da girmeniz gerekir.

Bir saydam İnceleme proxy 'si, temel kimlik doğrulaması olan HTTP açık proxy 'si veya HTTPS açık proxy 'si için sonraki adımları izleyin.

3

Kök sertifika yükle veya toplantı varlığı sertifikasını tıklatınve ardından bir proxy için kök sertifika seçin.

Sertifika yüklendi ancak henüz yüklenmedi çünkü sertifikayı yüklemek için düğümü yeniden başlatmanız gerekiyor. Daha fazla ayrıntı almak için sertifika veren adına göre köşeli çift ayraç okuna tıklayın veya bir hata yaptıysanız ve dosyayı yeniden yüklemek istiyorsanız Sil seçeneğine tıklayın.

4

Düğüm ve proxy arasındaki ağ bağlantısını test etmek Için proxy bağlantısını kontrol et 'e tıklayın.

Bağlantı testi başarısız olursa sorunun nedenini ve nasıl düzelticeğinizi gösteren bir hata mesajı göreceksiniz.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı. Bu koşul birçok açık proxy yapılandırmasında beklenir. Kuruluma devam edebilirsiniz ve düğüm engellenmiş harici DNS çözünürlük modunda çalışacaktır. Bunun bir hata olduğunu düşünüyorsanız, bu adımları tamamlayın ve ardından Engellenen Harici DNS Çözümleme Modunu Kapatbölümüne bakın.

5

Bağlantı testi geçtikten sonra, açık proxy yalnızca https olarak ayarlanmışsa açık proxy aracılığıyla bu düğümden tüm bağlantı noktası 443/444 https isteklerini yönlendirmek için aç seçeneğini etkinleştirin. Bu ayar, 15 saniye sonra etkili olmalıdır.

6

Tüm sertifikaları güven deposuna yükle 'ye tıklayın (https açık proxy veya saydam İnceleme proxy 'si için) veya YENIDEN başlatın (http açık proxy için görünür), istemi okuyun ve ardından hazırsanız yükle öğesini tıklatın .

Düğüm birkaç dakika içinde yeniden başlar.

7

Düğüm yeniden başlatıldıktan sonra, gerekirse tekrar oturum açın ve ardından Tüm yeşil durumda olduklarından emin olmak için bağlantı denetimlerini kontrol etmek için genel bakış sayfasını açın.

Proxy bağlantı kontrolü yalnızca webex.com 'in bir alt etki alanını sınar. Bağlantı sorunları varsa, yükleme yönergelerinde listelenen bazı bulut etki alanlarının bazılarının proxy 'de engellenmesi yaygın bir sorundur.

Kümedeki ilk düğümü kaydedin

Bu görev , Hibrit Veri Güvenliği VM'sini Ayarlabölümünde oluşturduğunuz genel düğümü alır, düğümü Webex bulutuna kaydeder ve onu bir Hibrit Veri Güvenliği düğümüne dönüştürür.

İlk düğümünüzü kaydettiğinizde, düğümün atanacağı bir küme oluşturursunuz. Bir küme, yedeklilik sağlamak üzere dağıtılan bir veya daha fazla düğüm içerir.

Başlamadan önce

  • Bir düğümün kaydını başlattığınızda, bunu 60 dakika içinde tamamlamanız gerekir, aksi takdirde yeniden başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir istisnaya izin verdiğinizden emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetlerseçeneğini seçin.

3

Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği kartını bulun ve Ayarlaöğesine tıklayın.

4

Açılan sayfada Kaynak ekleseçeneğine tıklayın.

5

Düğüm ekle kartının ilk alanına, Hibrit Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin.

Kümeye, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre isim vermenizi öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

6

İkinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle öğesine tıklayın.

Bu IP adresi veya FQDN, Hibrit Veri Güvenliği VM'sini Ayarlama'da kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex'e kaydedebileceğinizi belirten bir mesaj görüntülenir.
7

Düğümüne Git'e tıklayın.

Birkaç dakika sonra Webex hizmetleri için düğüm bağlantı testlerine yönlendirileceksiniz. Tüm testler başarılı olursa Hibrit Veri Güvenlik Düğümüne Erişime İzin Ver sayfası görüntülenir. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylarsınız.

8

Hibrit Veri Güvenlik Düğümünüze Erişime İzin Ver onay kutusunu işaretleyin ve ardından Devamöğesine tıklayın.

Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı, düğümünüzün artık Webex bulutuna kayıtlı olduğunu gösterir.
9

Bağlantıya tıklayın veya sekmeyi kapatarak Partner Hub Hibrit Veri Güvenliği sayfasına geri dönün.

Hibrit Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesi altında görüntülenir. Düğüm buluttan en son yazılımı otomatik olarak indirecektir.

Daha fazla düğüm oluşturun ve kaydedin

Kümenize ek düğümler eklemek için, ek sanal makineler oluşturmanız ve aynı yapılandırma ISO dosyasını bağlamanız ve ardından düğümü kaydetmeniz yeterlidir. En az 3 node'a sahip olmanızı öneririz.

Başlamadan önce

  • Bir düğümün kaydını başlattığınızda, bunu 60 dakika içinde tamamlamanız gerekir, aksi takdirde yeniden başlamanız gerekir.

  • Tarayıcınızdaki açılır pencere engelleyicilerinin devre dışı bırakıldığından veya admin.webex.com için bir istisnaya izin verdiğinizden emin olun.

1

HDS Ana Bilgisayar OVA'sını Yüklemeadımlarını tekrarlayarak OVA'dan yeni bir sanal makine oluşturun.

2

Hibrit Veri Güvenliği VM'sini Kurmabölümündeki adımları tekrarlayarak yeni VM'de ilk yapılandırmayı ayarlayın.

3

Yeni VM'de HDS Yapılandırma ISO'sunu Yükleme ve Bağlamaadımlarını tekrarlayın.

4

Dağıtımınız için bir proxy ayarlıyorsanız, yeni düğüm için gerektiği şekilde [ Proxy Entegrasyonu için HDS Düğümünü Yapılandırma adımlarını tekrarlayın.

5

Düğümü kaydedin.

  1. https://admin.webex.com'de, ekranın sol tarafındaki menüden Hizmetler ' i seçin.

  2. Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği kartını bulun ve Tümünü görüntüleöğesine tıklayın.

    Hibrit Veri Güvenliği Kaynakları sayfası görüntülenir.

  3. Yeni oluşturulan küme Kaynaklar sayfasında görünecektir.

  4. Kümeye atanmış düğümleri görüntülemek için kümeye tıklayın.

  5. Ekranın sağ tarafındaki Düğüm ekle öğesine tıklayın.

  6. Düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve Ekleöğesine tıklayın.

    Düğümünüzü Webex bulutuna kaydedebileceğinizi belirten bir mesaj içeren bir sayfa açılır. Birkaç dakika sonra Webex hizmetleri için düğüm bağlantı testlerine yönlendirileceksiniz. Tüm testler başarılı olursa Hibrit Veri Güvenlik Düğümüne Erişime İzin Ver sayfası görüntülenir. Burada, kuruluşunuzun düğümünüze erişmesine izin vermek istediğinizi onaylarsınız.

  7. Hibrit Veri Güvenlik Düğümünüze Erişime İzin Ver onay kutusunu işaretleyin ve ardından Devamöğesine tıklayın.

    Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı, düğümünüzün artık Webex bulutuna kayıtlı olduğunu gösterir.

  8. Bağlantıya tıklayın veya sekmeyi kapatarak Partner Hub Hibrit Veri Güvenliği sayfasına geri dönün.

    Düğüm eklendi açılır mesajı ayrıca Partner Hub'daki ekranın alt kısmında da görünür.

    Düğümünüz kaydedildi.

Çok Kiracılı Hibrit Veri Güvenliğinde Kiracı kuruluşlarını yönetin

Ortak Hub'da Çoklu Kiracı HDS'yi Etkinleştirin

Bu görev, müşteri kuruluşlarının tüm kullanıcılarının Yerinde şifreleme anahtarları ve diğer güvenlik hizmetleri için HDS'den yararlanmaya başlayabilmesini sağlar.

Başlamadan önce

Gerekli sayıda düğümle Multi-Tenant HDS kümenizi kurmayı tamamladığınızdan emin olun.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetlerseçeneğini seçin.

3

Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği'ni bulun ve Ayarları Düzenleöğesine tıklayın.

4

HDS Durumu kartında HDS'yi Etkinleştir [] öğesine tıklayın.

Ortak Hub'da kiracı kuruluşlarını ekleyin

Bu görevde müşteri kuruluşlarını Hibrit Veri Güvenliği Kümenize atarsınız.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetlerseçeneğini seçin.

3

Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği'ni bulun ve Tümünü görüntüleöğesine tıklayın.

4

Müşterinin atanmasını istediğiniz kümeye tıklayın.

5

Atanmış müşteriler sekmesine gidin.

6

Müşterileri ekleöğesine tıklayın.

7

Eklemek istediğiniz müşteriyi açılır menüden seçin.

8

Ekle' ye tıklayın, müşteri kümeye eklenecektir.

9

Kümenize birden fazla müşteri eklemek için 6 ila 8. adımları tekrarlayın.

10

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ' ye tıklayın.

Sonraki işlemler

Kurulum sürecini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarları (CMK'ler) oluşturma bölümünde ayrıntılı olarak açıklandığı gibi HDS Kurulum aracını çalıştırın.

HDS Kurulum aracını kullanarak Müşteri Ana Anahtarları (CMK'ler) oluşturun

Başlamadan önce

Müşterileri, Ortak Merkezi'nde kiracı kuruluşları eklemebölümünde ayrıntılı olarak açıklandığı gibi uygun kümeye atayın. Yeni eklenen müşteri kuruluşları için kurulum sürecini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi için kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerine ihtiyacınız olacak.

    HDS Kurulum aracı ortamınızdaki bir proxy'nin arkasında çalışıyorsa,5. adımda Docker konteynerini çalıştırırken proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) Docker ortam değişkenleri aracılığıyla sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız olur:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasında değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız PostgreSQL veya SQL Server dağıtımınızı TLS için ayarlayın.

Hibrit Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Daha sonra ISO'yu kullanarak Hibrit Veri Güvenliği ana bilgisayarınızı yapılandırabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı , aracılığıyla localhost'a bağlanmayı desteklemiyor http://localhost:8080. Localhost'a bağlanmak için http://127.0.0.1:8080 kullanın.

Bir web tarayıcısı kullanarak yerel ana bilgisayara http://127.0.0.1:8080gidin ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, kullanıcı adının bu ilk girişini, söz konusu hesap için uygun ortamı ayarlamak amacıyla kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

İstendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Hibrit Veri Güvenliği için gerekli hizmetlere erişime izin vermek üzere Oturum aç öğesine tıklayın.

8

Kurulum Aracı genel bakış sayfasında Başlayınöğesine tıklayın.

9

ISO İçe Aktarma sayfasında Evet' e tıklayın.

10

Tarayıcınızda ISO dosyanızı seçin ve yükleyin.

CMK yönetimini gerçekleştirmek için veritabanınıza bağlandığınızdan emin olun.
11

Kiracı CMK Yönetimi sekmesine gidin, burada Kiracı CMK'larını yönetmenin aşağıdaki üç yolunu bulacaksınız.

  • Tüm ORG'ler için CMK oluştur veya CMK oluştur - Ekranın üst kısmındaki afişteki bu düğmeye tıklayarak yeni eklenen tüm kuruluşlar için CMK oluştur.
  • Ekranın sağ tarafındaki CMK'leri Yönet butonuna tıklayın ve ardından tüm yeni eklenen kuruluşlar için CMK'ler oluşturmak üzere CMK Oluştur butonuna tıklayın.
  • Tabloda belirli bir kuruluşun CMK yönetimi bekleyen durumunun yanındaki … öğesine tıklayın ve o kuruluş için CMK oluşturmak üzere CMK Oluştur öğesine tıklayın.
12

CMK oluşturma başarılı olduğunda, tabloda durum CMK yönetimi bekleniyor durumundan CMK yönetildidurumuna değişecektir.

13

CMK oluşturma işlemi başarısız olursa bir hata görüntülenecektir.

Kiracı kuruluşlarını kaldırın

Başlamadan önce

Kaldırıldığında, müşteri kuruluşlarının kullanıcıları şifreleme ihtiyaçları için HDS'yi kullanamayacak ve mevcut tüm alanları kaybedecekler. Müşteri kuruluşlarını kaldırmadan önce lütfen Cisco iş ortağınız veya hesap yöneticinizle iletişime geçin.

1

Şurada oturum açın: https://admin.webex.com.

2

Ekranın sol tarafındaki menüden Hizmetlerseçeneğini seçin.

3

Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği'ni bulun ve Tümünü görüntüleöğesine tıklayın.

4

Kaynaklar sekmesinde, müşteri kuruluşlarını kaldırmak istediğiniz kümeye tıklayın.

5

Açılan sayfada Atanmış Müşteriler' e tıklayın.

6

Görüntülenen müşteri kuruluşları listesinden, kaldırmak istediğiniz müşteri kuruluşunun sağ tarafındaki ... öğelerine tıklayın ve Kümeden kaldıröğesine tıklayın.

Sonraki işlemler

HDS'den kaldırılan kiracıların CMK'larını iptal edin.bölümünde ayrıntılı olarak açıklandığı gibi müşteri kuruluşlarının CMK'larını iptal ederek kaldırma sürecini tamamlayın.

HDS'den çıkarılan kiracıların CMK'larını iptal edin.

Başlamadan önce

Müşterileri Kiracı kuruluşlarını kaldırmabölümünde ayrıntılı olarak açıklandığı gibi uygun kümeden kaldırın. Kaldırılan müşteri kuruluşları için kaldırma işlemini tamamlamak üzere HDS Kurulum aracını çalıştırın.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi için kuruluşunuz için tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerine ihtiyacınız olacak.

    HDS Kurulum aracı ortamınızdaki bir proxy'nin arkasında çalışıyorsa,5. adımda Docker konteynerini çalıştırırken proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) Docker ortam değişkenleri aracılığıyla sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız olur:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasında değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız PostgreSQL veya SQL Server dağıtımınızı TLS için ayarlayın.

Hibrit Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Daha sonra ISO'yu kullanarak Hibrit Veri Güvenliği ana bilgisayarınızı yapılandırabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

docker rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

docker login -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

docker pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

6

Kurulum aracı , aracılığıyla localhost'a bağlanmayı desteklemiyor http://localhost:8080. Localhost'a bağlanmak için http://127.0.0.1:8080 kullanın.

Bir web tarayıcısı kullanarak yerel ana bilgisayara http://127.0.0.1:8080gidin ve istemde Partner Hub için yönetici kullanıcı adını girin.

Araç, kullanıcı adının bu ilk girişini, söz konusu hesap için uygun ortamı ayarlamak amacıyla kullanır. Araç daha sonra standart oturum açma istemini görüntüler.

7

İstendiğinde, Partner Hub yönetici oturum açma kimlik bilgilerinizi girin ve ardından Hibrit Veri Güvenliği için gerekli hizmetlere erişime izin vermek üzere Oturum aç öğesine tıklayın.

8

Kurulum Aracı genel bakış sayfasında Başlayınöğesine tıklayın.

9

ISO İçe Aktarma sayfasında Evet' e tıklayın.

10

Tarayıcınızda ISO dosyanızı seçin ve yükleyin.

11

Kiracı CMK Yönetimi sekmesine gidin, burada Kiracı CMK'larını yönetmenin aşağıdaki üç yolunu bulacaksınız.

  • Tüm ORG'ler için CMK'yi iptal edin veya CMK'yi iptal edin - Ekranın üst kısmındaki afişteki bu düğmeye tıklayarak kaldırılan tüm kuruluşların CMK'lerini iptal edin.
  • Ekranın sağ tarafındaki CMK'leri Yönet butonuna tıklayın ve kaldırılan tüm kuruluşların CMK'lerini iptal etmek için CMK'leri İptal Et butonuna tıklayın.
  • Tabloda belirli bir kuruluşun iptal edilecek CMKdurumunun yanındaki öğesine tıklayın ve belirli bir kuruluş için CMK'yi iptal etmek üzere CMK'yi İptal Et öğesine tıklayın.
12

CMK iptali başarılı olduğunda müşteri kuruluşu artık tabloda görünmeyecektir.

13

CMK iptali başarısız olursa bir hata gösterilecektir.

Hibrit Veri Güvenliği dağıtımını test edin

Hibrit Veri Güvenliği Dağıtımınızı Test Edin

Çok Kiracılı Hibrit Veri Güvenliği şifreleme senaryolarını test etmek için bu prosedürü kullanın.

Başlamadan önce

  • Çok Kiracılı Hibrit Veri Güvenliği dağıtımınızı ayarlayın.

  • Anahtar isteklerinin Çok Kiracılı Hibrit Veri Güvenliği dağıtımınıza iletildiğini doğrulamak için syslog'a erişiminiz olduğundan emin olun.

1

Belirli bir mekanın anahtarları, o mekanın yaratıcısı tarafından belirlenir. Müşteri kuruluşu kullanıcılarından biri olarak Webex Uygulamasında oturum açın ve ardından bir alan oluşturun.

Hibrit Veri Güvenliği dağıtımını devre dışı bırakırsanız, şifreleme anahtarlarının istemci önbelleğine alınmış kopyaları değiştirildiğinde kullanıcıların oluşturduğu alanlardaki içeriklere artık erişilemez.

2

Yeni alana mesaj gönderin.

3

Anahtar isteklerinin Hibrit Veri Güvenliği dağıtımınıza geçtiğini doğrulamak için syslog çıktısını kontrol edin.

Yeni eklenen bir müşteri kuruluşunun kullanıcısı herhangi bir işlem yaparsa, kuruluşun Kuruluş Kimliği günlüklerde görünür ve bu, kuruluşun Çok Kiracılı HDS'den yararlandığını doğrulamak için kullanılabilir. Syslogs'taki kms.data.orgId değerini kontrol edin.

  1. Öncelikle KMS'ye güvenli bir kanal kuran bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=EPHEMERAL_KEY_COLLECTIONfiltrelerini kullanın :

    Aşağıdaki gibi bir girdi bulmalısınız (okunabilirlik için tanımlayıcılar kısaltılmıştır):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. KMS'den mevcut bir anahtar isteyen bir kullanıcıyı kontrol etmek için kms.data.method=retrieve ve kms.data.type=KEYüzerinde filtreleme yapın :

    Şunun gibi bir giriş bulmanız gerekir:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. Yeni bir KMS anahtarı oluşturulmasını isteyen bir kullanıcıyı kontrol etmek için kms.data.method=create ve kms.data.type=KEY_COLLECTIONüzerinde filtreleme yapın :

    Şunun gibi bir giriş bulmanız gerekir:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. Bir alan veya diğer korumalı kaynak oluşturulduğunda yeni bir KMS Kaynak Nesnesi (KRO) oluşturulmasını isteyen bir kullanıcı olup olmadığını kontrol etmek için kms.data.method=create ve kms.data.type=RESOURCE_COLLECTIONüzerinde filtreleme yapın :

    Şunun gibi bir giriş bulmanız gerekir: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Hibrit Veri Güvenliği Sağlığını İzleyin

Partner Hub'daki bir durum göstergesi, Çok Kiracılı Hibrit Veri Güvenliği dağıtımında her şeyin yolunda olup olmadığını gösterir. Daha proaktif uyarılar için e-posta bildirimlerine kaydolun. Hizmeti etkileyen alarmlar veya yazılım yükseltmeleri olduğunda bilgilendirileceksiniz.
1

Partner Hub'da, ekranın sol tarafındaki menüden Hizmetler ' i seçin.

2

Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği'ni bulun ve Ayarları Düzenleöğesine tıklayın.

Hibrit Veri Güvenliği Ayarları sayfası görüntülenir.
3

E-posta Bildirimleri bölümünde, virgülle ayrılmış bir veya daha fazla e-posta adresini yazın ve Entertuşlarına basın.

HDS dağıtımınızı yönetin

HDS Dağıtımını Yönetin

Hibrit Veri Güvenliği dağıtımınızı yönetmek için burada açıklanan görevleri kullanın.

Küme Yükseltme Programını Ayarla

Hibrit Veri Güvenliği için yazılım yükseltmeleri küme düzeyinde otomatik olarak yapılır; bu da tüm düğümlerin her zaman aynı yazılım sürümünü çalıştırmasını sağlar. Yükseltmeler kümenin yükseltme takvimine göre yapılır. Bir yazılım yükseltmesi kullanılabilir olduğunda, planlanan yükseltme zamanından önce kümeyi manuel olarak yükseltme seçeneğiniz vardır. Belirli bir yükseltme programı ayarlayabilir veya varsayılan programı kullanabilirsiniz. 3:00 AM Daily Amerika Birleşik Devletleri: America/Los Melekler. Gerekirse yaklaşan bir yükseltmeyi ertelemeyi de seçebilirsiniz.

Yükseltme zamanlamasını ayarlamak için:

1

Partner Hub'da oturum açma.

2

Ekranın sol tarafındaki menüden Hizmetlerseçeneğini seçin.

3

Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği'ni bulun ve Ayarla'ya tıklayın

4

Hibrit Veri Güvenliği Kaynakları sayfasında kümeyi seçin.

5

Küme Ayarları sekmesine tıklayın.

6

Küme Ayarları sayfasında, Yükseltme Programı altında yükseltme programı için saat ve saat dilimini seçin.

Not: Saat diliminin altında bir sonraki kullanılabilir yükseltme tarihi ve saati görüntülenir. Gerektiğinde yükseltmeyi 24 saat ertele' ye tıklayarak ertesi güne erteleyebilirsiniz.

Düğüm Yapılandırmasını Değiştirin

Bazen Karma Veri Güvenliği düğümünün yapılandırmasını şu gibi bir nedenden dolayı değiştirmeniz gerekir:

  • x.509 sertifikalarını geçerlilik süresinin dolması veya başka bir nedenden dolayı değiştirilmesi.

    Bir sertifikanın CN etki alanı adını değiştirmeyi desteklememektedirk. Etki alanı, kümeyi kaydetmek için kullanılan orijinal etki alanıyla eşleşmeli.

  • PostgreSQL veya Microsoft SQL Server veritabanının bir hizmetine değiştirmek için veritabanı ayarları güncelleniyor.

    PostgreSQL'den Microsoft SQL Server'a verinin veya tinle yolu olarak bizim için hiçbir şey desteklemez. Veritabanı ortamını değiştirmek için Karma Veri Güvenliği'nin yeni bir dağıtımını başlatabilirsiniz.

  • Yeni veri merkezini hazırlamak için yeni bir yapılandırma oluşturabilirsiniz.

Ayrıca güvenlik amacıyla Karma Veri Güvenliği, dokuz aylık kullanım ömrüne sahip hizmet hesabı parolaları kullanır. Bu parolaları HDS Kurulum aracı tarafından oluşturulan hds düğümlerinizin her biri için ISO yapılandırma dosyasında dağıtırsınız. Kurum parolalarının geçerlilik süresi sona ererken, makinenizin hesabının parolasını sıfırlamak Webex ekipten bir bildirim alırsınız. (Bu e-posta, "Parolayı güncellemek için makine hesabı API'sini kullanın" şeklinde bir yazı içerir.) Parola süreniz henüz dolmamışsa araç size iki seçenek sunar:

  • Yumuşak sıfırlama— Hem eski hem de yeni parolalar 10 güne kadar çalışır. Düğümlerde ISO dosyasını zamanla değiştirmek için bu dönemi kullanın.

  • Sert sıfırlama—Eski şifreler anında çalışmayı durdurur.

Parolalarınızı sıfırlamadan sona ererseniz HDS hizmetinizi etkiler ve tüm düğümlerde ISO dosyasının acil olarak sabit sıfırlama ve değiştirilmesini gerekli olur.

Yeni bir yapılandırma ISO dosyası oluşturmak ve kümenize uygulamak için bu prosedürü kullanın.

Başlamadan önce

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Erişmek için, docker'ı makinede çalıştırın. Kurulum işlemi için, ortak tam yönetici haklarına sahip bir Partner Hub hesabının kimlik bilgilerine ihtiyaç vardır.

    Docker Desktop lisansınız yoksa, aşağıdaki prosedürde 1.a'dan 1.e'ye kadar olan adımlarda HDS Kurulum aracını çalıştırmak için Podman Desktop'ı kullanabilirsiniz. Ayrıntılar için Podman Desktop'ı kullanarak HDS Kurulum aracını çalıştırma konusuna bakın.

    HDS Kurulum aracı ortamınızdaki bir proxy'nin arkasında çalışıyorsa, 1.e'de Docker konteynerini çalıştırırken proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) Docker ortam değişkenleri aracılığıyla sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Yeni bir yapılandırma oluşturmak için mevcut yapılandırmanın ISO dosyasına ihtiyacınız vardır. ISO, PostgreSQL veya Microsoft SQL Server veritabanını şifrelenen ana anahtarı içerir. Veritabanı kimlik bilgileri, sertifika güncellemeleri veya yetki politikası değişiklikleri dahil olmak üzere yapılandırma değişiklikleri yaptığınız zaman ISO'ya ihtiyacınız vardır.

1

Yerel bir makinede Docker kullanarak HDS Kurulum Aracını çalıştırın.

  1. Makinenizin komut satırına ortamınız için uygun komutu girin:

    Normal ortamlarda:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

  2. Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

    docker login -u hdscustomersro

  3. Parola isteminde bu karma değeri girin:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Ortamınız için en son sabit görüntüyü indirin:

    Normal ortamlarda:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP ortamlarında:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Bu prosedür için en son Kurulum aracını çektiğinizden emin olun. Aracın 22 Şubat 2018'den önce oluşturulmuş sürümlerinde parola sıfırlama ekranı yok.

  5. Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

    • Proxy olmayan normal ortamlarda:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP proxy'si olan normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPSproxy'ye sahip normal ortamlarda:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • Proxy olmadan FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS proxy'si ile FedRAMP ortamlarında:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

  6. Yerel ana bilgisayara bağlanmak için bir tarayıcı kullanın, http://127.0.0.1:8080.

    Kurulum aracı , aracılığıyla localhost'a bağlanmayı desteklemiyor http://localhost:8080. Localhost'a bağlanmak için http://127.0.0.1:8080 kullanın.

  7. İstendiğinde Partner Hub müşteri oturum açma bilgilerinizi girin ve ardından devam etmek için Kabul Et öğesine tıklayın.

  8. Mevcut yapılandırma ISO dosyasını içe aktarın.

  9. Aracı tamamlamak ve güncellenen dosyayı indirmek için istemleri takip edin.

    Kurulum aracını kapatmak için CTRL+Cyazın.

  10. Başka bir veri merkezinde güncellenen dosyanın yedek kopyasını oluşturun.

2

Yalnızcaçalıştıran bir HDS düğümünüz varsa, yeni bir Hibrit Veri Güvenliği düğümü sanal makinesi oluşturun ve yeni yapılandırma ISO dosyasını kullanarak kaydedin. Daha ayrıntılı talimatlar için Daha fazla düğüm oluşturma ve kaydetmebölümüne bakın.

  1. HDS ana bilgisayar OVA dosyasını yükleyin.

  2. HDS VM kurulumunu yapın.

  3. Güncellenmiş yapılandırma dosyasını yükleyin.

  4. Yeni node’u Partner Hub’a kaydedin.

3

Daha eski yapılandırma dosyasını çalıştıran mevcut HDS düğümleri için ISO dosyasını bindirin. Bir sonraki düğümü kapatmadan önce her düğümü güncelleyerek sırasıyla her düğümde aşağıdaki prosedürü gerçekleştirin:

  1. Sanal makineyi kapatın.

  2. VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

  3. CD/DVD Drive 1öğesine tıklayın, ISO dosyasından bağlama seçeneğini belirleyin ve yeni yapılandırma ISO dosyasını indirdiğiniz konuma gidin.

  4. Çalıştırma sırasında bağlan seçeneğini seçin.

  5. Değişikliklerinizi kaydedin ve sanal makineyi çalıştırın.

4

Eski yapılandırmada çalışan, geri kalan her düğümdeki yapılandırmayı değiştirmek için 3. adımı tekrarlayın.

Engellenmiş harici DNS çözünürlük modunu kapat

Bir düğümü kaydettiğinizde veya düğümün proxy yapılandırmasını kontrol ettiğinizde, işlem DNS aramayı ve bağlantısını Cisco Webex buluta sınar. Düğümün DNS sunucusu genel DNS adlarını çözemezse düğüm otomatik olarak engellenmiş harici DNS çözünürlük moduna geçer.

Düğümleriniz dahili DNS sunucuları aracılığıyla genel DNS adlarını çözemezse, her düğümdeki proxy bağlantı testini yeniden çalıştırarak bu modu kapatabilirsiniz.

Başlamadan önce

Dahili DNS sunucularınızın genel DNS adlarını çözebileceğini ve düğümlerinizin onlarla iletişim kurabilmesini sağlayın.
1

Bir web tarayıcısında, Hibrit Veri Güvenliği düğüm arayüzünü (IP) açın address/setup, örneğin, https://192.0.2.0/setup), düğüm için ayarladığınız yönetici kimlik bilgilerini girin ve ardından Oturum Açöğesine tıklayın.

2

Genel bakışa gidin (varsayılan sayfa).

Etkinleştirildiğinde, Engellenen HARICI DNS çözümlemesi Evet olarak ayarlanır .

3

Güven deposu & proxy sayfasına gidin.

4

Proxy bağlantısını kontrol et 'e tıklayın.

Harici DNS çözünürlüğünün başarılı olmadığını belirten bir mesaj görürseniz düğüm DNS sunucusuna ulaşamadı ve bu modda kalacaktır. Aksi takdirde, düğümü yeniden başlatıp genel bakış sayfasına geri dönedikten sonra , ENGELLENMIŞ harici DNS çözünürlüğünün Hayır olarak ayarlanması gerekir.

Sonraki işlemler

Karma veri güvenliği kümenizdeki her düğümdeki proxy bağlantı testini tekrarlayın.

Bir Düğümü Kaldır

Webex bulutundan bir Hibrit Veri Güvenliği düğümünü kaldırmak için bu prosedürü kullanın. Düğümü kümeden kaldırdıktan sonra, güvenlik verilerinize daha fazla erişilmesini engellemek için sanal makineyi silin.
1

Bilgisayarınızdaki VMware vSphere istemcisini kullanarak ESXi sanal ana bilgisayarında oturum açın ve sanal makineyi kapatın.

2

Düğümü kaldırın:

  1. Partner Hub'da oturum açın ve ardından Hizmetleröğesini seçin.

  2. Hibrit Veri Güvenliği kartında, Hibrit Veri Güvenliği Kaynakları sayfasını görüntülemek için Tümünü Görüntüle öğesine tıklayın.

  3. Genel Bakış panelini görüntülemek için kümenizi seçin.

  4. Kaldırmak istediğiniz düğüme tıklayın.

  5. Sağ tarafta görünen panelde Bu düğümü kayıttan çıkar öğesine tıklayın

  6. Ayrıca düğümün sağ tarafındaki … öğesine tıklayıp Bu düğümü kaldıröğesini seçerek düğümü kayıttan çıkarabilirsiniz.

3

vSphere istemcisinde VM'yi silin. (Sol gezinme bölmesinde, VM'ye sağ tıklayın ve Silöğesine tıklayın.)

Eğer VM'i silmezseniz, yapılandırma ISO dosyasını çıkarmayı unutmayın. ISO dosyası olmadan, güvenlik verilerinize erişmek için VM'yi kullanamazsınız.

Bekleme Veri Merkezini Kullanarak Felaket Kurtarma

Hibrit Veri Güvenliği kümenizin sağladığı en kritik hizmet, Webex bulutunda depolanan mesajları ve diğer içerikleri şifrelemek için kullanılan anahtarların oluşturulması ve depolanmasıdır. Kuruluş içinde Hibrit Veri Güvenliğine atanmış her kullanıcı için yeni anahtar oluşturma istekleri kümeye yönlendirilir. Küme ayrıca, oluşturduğu anahtarları, bunları almaya yetkili olan tüm kullanıcılara (örneğin, bir konuşma alanının üyelerine) iade etmekten de sorumludur.

Küme, bu anahtarları sağlama gibi kritik bir işlevi yerine getirdiğinden, kümenin çalışmaya devam etmesi ve uygun yedeklemelerin tutulması zorunludur. Hibrit Veri Güvenliği veritabanının veya şema için kullanılan yapılandırma ISO'sunun kaybı, müşteri içeriğinin KURTARILAMAYAN BİR ŞEKİLDE KAYBOLMASINA neden olacaktır. Böyle bir kaybın önlenmesi için aşağıdaki uygulamaların yapılması zorunludur:

Bir felaket nedeniyle birincil veri merkezindeki HDS dağıtımı kullanılamaz hale gelirse, beklemedeki veri merkezine manuel olarak geçiş yapmak için bu prosedürü izleyin.

Başlamadan önce

Bir Düğümü Kaldırmabölümünde belirtildiği gibi Partner Hub'daki tüm düğümlerin kaydını silin. Aşağıda belirtilen devralma prosedürünü gerçekleştirmek için, daha önce etkin olan kümenin düğümlerine karşı yapılandırılmış en son ISO dosyasını kullanın.
1

HDS Kurulum aracını başlatın ve HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturmabölümünde belirtilen adımları izleyin.

2

Yapılandırma sürecini tamamlayın ve ISO dosyasını kolayca bulunabilecek bir yere kaydedin.

3

ISO dosyasının bir yedek kopyasını yerel sisteminizde oluşturun. Yedek kopyayı güvenli bir yerde saklayın. Bu dosya veritabanı içerikleri için ana şifreleme anahtarını içerir. Erişimi yalnızca yapılandırma değişikliklerini yapması gereken Hibrit Veri Güvenliği yöneticileriyle sınırlayın.

4

VMware vSphere istemcisinin sol navigasyon panelinde VM düğmesine sağ tıklayın ve Ayarları Düzenle seçeneğini seçin.

5

Ayarları Düzenle'ye tıklayın >CD/DVD Sürücü 1 ve Veri Deposu ISO Dosyası'nı seçin.

Güncellenen yapılandırma değişikliklerinin düğümler başlatıldıktan sonra etkili olabilmesi için Bağlı ve Güç açıldığında bağlan öğelerinin işaretli olduğundan emin olun.

6

HDS düğümünü açın ve en az 15 dakika boyunca herhangi bir alarm olmadığından emin olun.

7

Düğümü Partner hub'ına kaydedin. Kümedeki ilk düğümü kaydedin.

8

Bekleme veri merkezindeki her düğüm için işlemi tekrarlayın.

Sonraki işlemler

Arıza durumunda, birincil veri merkezi tekrar aktif hale gelirse, beklemedeki veri merkezindeki düğümlerin kaydını silin ve yukarıda belirtildiği gibi ISO yapılandırma ve birincil veri merkezindeki düğümleri kaydetme sürecini tekrarlayın.

(İsteğe bağlı) HDS Yapılandırmasından Sonra ISO'yu Çıkarın

Standart HDS konfigürasyonu ISO takılı olarak çalışır. Ancak bazı müşteriler ISO dosyalarının sürekli olarak takılı kalmasını tercih etmiyor. Tüm HDS düğümleri yeni yapılandırmayı aldıktan sonra ISO dosyasını kaldırabilirsiniz.

Yapılandırma değişikliklerini yapmak için hala ISO dosyalarını kullanıyorsunuz. Kurulum Aracı aracılığıyla yeni bir ISO oluşturduğunuzda veya bir ISO'yu güncellediğinizde, güncellenmiş ISO'yu tüm HDS düğümlerinize bağlamanız gerekir. Tüm düğümleriniz yapılandırma değişikliklerini aldıktan sonra, bu prosedürle ISO'yu tekrar kaldırabilirsiniz.

Başlamadan önce

Tüm HDS düğümlerinizi 2021.01.22.4720 veya sonraki sürüme yükseltin.

1

HDS düğümlerinizden birini kapatın.

2

vCenter Server Appliance'da HDS düğümünü seçin.

3

Ayarları Düzenle öğesini seçin > CD/DVD sürücüsünü kullanın ve Datastore ISO Dosyasıöğesinin işaretini kaldırın.

4

HDS düğümünü açın ve en az 20 dakika boyunca herhangi bir alarm olmadığından emin olun.

5

Sırayla her HDS düğümü için tekrarlayın.

Hibrit Veri Güvenliğinde Sorun Giderme

Uyarıları Görüntüle ve Sorun Gider

Kümedeki tüm düğümlere ulaşılamıyorsa veya küme o kadar yavaş çalışıyorsa ki istekler zaman aşımına uğruyorsa, Hibrit Veri Güvenliği dağıtımı kullanılamaz olarak kabul edilir. Kullanıcılar Hibrit Veri Güvenliği kümenize ulaşamıyorsa aşağıdaki belirtileri yaşarlar:

  • Yeni alanlar oluşturulamıyor (yeni anahtarlar oluşturulamıyor)

  • Mesajlar ve alan başlıkları şu durumlarda şifresini çözemiyor:

    • Bir alana yeni kullanıcılar eklendi (anahtarlar alınamadı)

    • Yeni bir istemci kullanan bir alandaki mevcut kullanıcılar (anahtarları alamıyor)

  • Bir alandaki mevcut kullanıcılar, istemcileri şifreleme anahtarlarının önbelleğine sahip olduğu sürece başarılı bir şekilde çalışmaya devam edecektir

Hizmet kesintilerini önlemek için Hibrit Veri Güvenliği kümenizi düzgün bir şekilde izlemeniz ve herhangi bir uyarıya derhal yanıt vermeniz önemlidir.

Uyarılar

Hibrit Veri Güvenliği kurulumunda bir sorun varsa, Partner Hub kuruluş yöneticisine uyarılar görüntüler ve yapılandırılmış e-posta adresine e-postalar gönderir. Uyarılar pek çok yaygın senaryoyu kapsıyor.

Tablo 1. Yaygın Sorunlar ve Bunları Çözmek İçin Atılacak Adımlar

Uyarı

Eylem

Yerel veritabanı erişim hatası.

Veritabanı hatalarını veya yerel ağ sorunlarını kontrol edin.

Yerel veritabanı bağlantı hatası.

Veritabanı sunucusunun kullanılabilir olduğunu ve düğüm yapılandırmasında doğru hizmet hesabı kimlik bilgilerinin kullanıldığını kontrol edin.

Bulut hizmetine erişim hatası.

Düğümlerin Harici bağlantı gereksinimleribölümünde belirtildiği gibi Webex sunucularına erişebildiğini kontrol edin.

Bulut servis kaydının yenilenmesi.

Bulut hizmetlerine kayıtlar kaldırıldı. Kayıt yenileme işlemleri devam ediyor.

Bulut servis kaydı düştü.

Bulut hizmetlerine kayıt sonlandırıldı. Hizmet kapatılıyor.

Hizmet henüz aktifleştirilmedi.

Partner Hub’da HDS’yi etkinleştirin.

Yapılandırılmış etki alanı sunucu sertifikasıyla eşleşmiyor.

Sunucu sertifikanızın yapılandırılmış hizmet etkinleştirme etki alanıyla eşleştiğinden emin olun.

En olası neden, sertifika CN'sinin yakın zamanda değiştirilmiş olması ve artık ilk kurulum sırasında kullanılan CN'den farklı olmasıdır.

Bulut hizmetlerinde kimlik doğrulaması başarısız oldu.

Hizmet hesabı kimlik bilgilerinizin doğruluğunu ve olası son kullanma tarihini kontrol edin.

Yerel anahtar deposu dosyası açılamadı.

Yerel anahtar deposu dosyasının bütünlüğünü ve parola doğruluğunu kontrol edin.

Yerel sunucu sertifikası geçersiz.

Sunucu sertifikasının son kullanma tarihini kontrol edin ve güvenilir bir Sertifika Yetkilisi tarafından verildiğini onaylayın.

Metrikler gönderilemiyor.

Harici bulut hizmetlerine yerel ağ erişimini kontrol edin.

/media/configdrive/hds dizin mevcut değil.

Sanal sunucudaki ISO bağlama yapılandırmasını kontrol edin. ISO dosyasının mevcut olduğunu, yeniden başlatma sırasında bağlanacak şekilde yapılandırıldığını ve başarıyla bağlandığını doğrulayın.

Kiracı Kuruluş Kurulumu eklenen kuruluşlar için tamamlanmadı

HDS Kurulum Aracını kullanarak yeni eklenen kiracı kuruluşlar için CMK'lar oluşturarak kurulumu tamamlayın.

Kaldırılan kuruluşlar için Kiracı Kuruluş Kurulumu tamamlanmadı

HDS Kurulum Aracı kullanılarak kaldırılan kiracı kuruluşların CMK'larını iptal ederek kurulumu tamamlayın.

Hibrit Veri Güvenliğinde Sorun Giderme

Hibrit Veri Güvenliği ile ilgili sorunları giderirken aşağıdaki genel yönergeleri kullanın.
1

Herhangi bir uyarı için Partner Hub'ı inceleyin ve orada bulduğunuz öğeleri düzeltin. Referans için aşağıdaki görsele bakınız.

2

Hibrit Veri Güvenliği dağıtımından gelen etkinlik için syslog sunucusu çıktısını inceleyin. Sorun gidermeye yardımcı olması için "Uyarı" ve "Hata" gibi sözcükleri filtreleyin.

3

Cisco desteğiyleiletişime geçin.

Diğer notlar

Hibrit Veri Güvenliği için Bilinen Sorunlar

  • Hibrit Veri Güvenliği kümenizi kapatırsanız (Partner Hub'ında silerek veya tüm düğümleri kapatarak), yapılandırma ISO dosyanızı kaybederseniz veya anahtar deposu veritabanına erişiminizi kaybederseniz, müşteri kuruluşlarının Webex Uygulaması kullanıcıları artık KMS'nizdeki anahtarlarla oluşturulan Kişiler listelerindeki alanları kullanamaz. Şu anda bu sorun için bir geçici çözüm veya düzeltmemiz yok ve HDS servislerinizi etkin kullanıcı hesaplarını işlemeye başladıktan sonra kapatmamanızı önemle rica ediyoruz.

  • Mevcut bir ECDH bağlantısı olan bir istemci, bir süre (muhtemelen bir saat) boyunca bu bağlantıyı korur.

Podman Desktop'ı kullanarak HDS Kurulum aracını çalıştırın

Podman, konteynerleri çalıştırma, yönetme ve oluşturma olanağı sağlayan ücretsiz ve açık kaynaklı bir konteyner yönetim aracıdır. Podman Desktop https://podman-desktop.io/downloadsadresinden indirilebilir.

  • HDS Kurulum aracı, yerel makinede Docker kapsayıcısı olarak çalışır. Buna erişmek için, o bilgisayara Podman'ı indirip çalıştırmanız gerekiyor. Kurulum işlemi, organizasyonunız için tam yönetici hakları olan bir Control Hub hesabının kimlik bilgilerini gerektirir.

    HDS Kurulum aracı ortamınızdaki bir proxy'nin arkasında çalışıyorsa, 5. adımda Docker konteynerini çalıştırırken proxy ayarlarını (sunucu, bağlantı noktası, kimlik bilgileri) Docker ortam değişkenleri aracılığıyla sağlayın. Bu tablo, bazı olası ortam değişkenleri sağlar:

    Açıklama

    Değişken

    Kimlik doğrulaması olmadan HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulamadan HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Kimlik doğrulaması ile HTTP Proxy

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Kimlik doğrulama ile HTTPS Proxy

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Oluşturduğunuz yapılandırma ISO dosyası, PostgreSQL veya Microsoft SQL Server veritabanını şifreleyen ana anahtarı içerir. Aşağıdakiler gibi yapılandırma değişiklikleri yaptığınızda bu dosyanın en son kopyasına ihtiyacınız olur:

    • Veritabanı kimlik bilgileri

    • Sertifika güncellemeleri

    • Yetkilendirme politikasında değişiklikler

  • Veritabanı bağlantılarını şifrelemeyi planlıyorsanız PostgreSQL veya SQL Server dağıtımınızı TLS için ayarlayın.

Hibrit Veri Güvenliği kurulum süreci bir ISO dosyası oluşturur. Daha sonra ISO'yu kullanarak Hibrit Veri Güvenliği ana bilgisayarınızı yapılandırabilirsiniz.

1

Makinenizin komut satırına ortamınız için uygun komutu girin:

Normal ortamlarda:

podman rmi ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

podman rmi ciscocitg/hds-setup-fedramp:stable

Bu adım, daha önceki HDS kurulum araç görüntülerini temizler. Önceki görüntüler yoksa yoksayyabilirsiniz bir hata döndürür.

2

Docker görüntü kayıt defterinde oturum açma için aşağıdakini girin:

podman login docker.io -u hdscustomersro
3

Parola isteminde bu karma değeri girin:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Ortamınız için en son sabit görüntüyü indirin:

Normal ortamlarda:

podman pull ciscocitg/hds-setup:stable

FedRAMP ortamlarında:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Çekme işlemi tamamlandığında ortamınız için uygun komutu girin:

  • Proxy olmayan normal ortamlarda:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP proxy'si olan normal ortamlarda:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS proxy'si olan normal ortamlarda:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • Proxy olmadan FedRAMP ortamlarında:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP proxy'si ile FedRAMP ortamlarında:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS proxy'si ile FedRAMP ortamlarında:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Kapsayıcı çalışana "Express sunucusunun bağlantı noktası 8080'i dinlediğini" görüntülersiniz.

Sonraki işlemler

ISO yapılandırmasını oluşturmak veya değiştirmek için HDS Ana Bilgisayarları için Yapılandırma ISO'su Oluşturma veya Düğüm Yapılandırmasını Değiştirme bölümündeki kalan adımları izleyin.

Control Hub'daki bir ortak kuruluşun mevcut tek kiracı HDS dağıtımını Partner Hub'daki Çok Kiracı HDS kurulumuna taşıyın

Control Hub'da yönetilen bir ortak kuruluşun mevcut tek kiracı HDS dağıtımından Partner Hub'da yönetilen Çok Kiracı HDS dağıtımına dönüştürme işlemi, esas olarak Control Hub'da HDS hizmetinin devre dışı bırakılmasını, düğümlerin kaydının silinmesini ve kümenin silinmesini içerir. Daha sonra Partner Hub'a giriş yapabilir, düğümleri kaydedebilir, Multi-Tenant HDS'yi etkinleştirebilir ve kümenize müşteriler ekleyebilirsiniz.

"Tek kiracı" terimi, Control Hub'da mevcut bir HDS dağıtımını ifade eder.

HDS'yi devre dışı bırakın, düğümleri kayıttan çıkarın ve Kontrol Merkezi'ndeki kümeyi silin

1

Control Hub’a giriş yapın. Sol bölmede Hibritöğesine tıklayın. Hibrit Veri Güvenliği kartında Ayarları Düzenleöğesine tıklayın.

2

Ayarlar sayfasında, Devre Dışı Bırak bölümüne gidin ve Devre Dışı Bıraköğesine tıklayın.

3

Devre dışı bıraktıktan sonra Kaynaklar sekmesine tıklayın.

4

Kaynaklar sayfası HDS dağıtımınızdaki kümeleri listeler. Bir kümeye tıkladığınızda, o kümenin altındaki tüm düğümlerin yer aldığı bir sayfa açılır.

5

Sağdaki ... öğelerine tıklayın ve Düğümün kaydını silöğesine tıklayın. İşlemi kümedeki tüm düğümler için tekrarlayın.

6

Dağıtımınızda birden fazla küme varsa, tüm düğümler kayıttan silinene kadar 4. ve 5. adımları tekrarlayın.

7

Küme Ayarları'na tıklayın > Kaldırmak.

8

Kümeyi kayıttan çıkarmak için Kaldırmayı Onayla öğesine tıklayın.

9

HDS dağıtımınızdaki tüm kümeler için işlemi tekrarlayın.

HDS devre dışı bırakıldıktan, düğümlerin kaydı silindikten ve kümeler kaldırıldıktan sonra, Kontrol Merkezi'ndeki Hibrit Veri Hizmeti kartının alt kısmında Kurulum tamamlanmadı mesajı görüntülenir.

Ortak Hub'da ortak kuruluş için Çoklu Kiracı HDS'yi etkinleştirin ve müşterileri ekleyin

Başlamadan önce

Çoklu Kiracı Hibrit Veri Güvenliği için Gereksinimler bölümünde belirtilen tüm ön koşullar burada da geçerlidir. Ayrıca, Multi-Tenant HDS'ye geçiş sırasında aynı veritabanının ve sertifikaların kullanıldığından emin olun.

1

Partner Hub’a giriş yapın. Sol bölmede Hizmetler öğesine tıklayın.

Düğümleri yapılandırmak için önceki HDS dağıtımınızdaki aynı ISO'yu kullanın. Bu, önceki mevcut HDS dağıtımında kullanıcılar tarafından oluşturulan mesajların ve içeriklerin yeni Çoklu Kiracı kurulumunda hala erişilebilir olmasını sağlayacaktır.

2

Bulut Hizmetleri bölümünde Hibrit Veri Güvenliği kartını bulun ve Ayarlaöğesine tıklayın.

3

Açılan sayfada Kaynak ekleseçeneğine tıklayın.

4

Düğüm ekle kartının ilk alanına, Hibrit Veri Güvenliği düğümünüzü atamak istediğiniz küme için bir ad girin.

Kümeye, kümenin düğümlerinin coğrafi olarak nerede bulunduğuna göre isim vermenizi öneririz. Örnekler: "San Francisco" veya "New York" veya "Dallas"

5

İkinci alana düğümünüzün dahili IP adresini veya tam etki alanı adını (FQDN) girin ve ekranın alt kısmındaki Ekle öğesine tıklayın.

Bu IP adresi veya FQDN, Hibrit Veri Güvenliği VM'sini Ayarlama'da kullandığınız IP adresi veya ana bilgisayar adı ve etki alanıyla eşleşmelidir.

Düğümünüzü Webex'e kaydedebileceğinizi belirten bir mesaj görüntülenir.
6

Düğümüne Git'e tıklayın.

Birkaç dakika sonra Webex hizmetleri için düğüm bağlantı testlerine yönlendirileceksiniz. Tüm testler başarılı olursa Hibrit Veri Güvenlik Düğümüne Erişime İzin Ver sayfası görüntülenir. Burada, Webex kuruluşunuza düğümünüze erişim izni vermek istediğinizi onaylarsınız.

7

Hibrit Veri Güvenlik Düğümünüze Erişime İzin Ver onay kutusunu işaretleyin ve ardından Devamöğesine tıklayın.

Hesabınız doğrulandı ve "Kayıt Tamamlandı" mesajı, düğümünüzün artık Webex bulutuna kayıtlı olduğunu gösterir. Hibrit Veri Güvenliği sayfasında, kaydettiğiniz düğümü içeren yeni küme Kaynaklar sekmesi altında görüntülenir. Düğüm buluttan en son yazılımı otomatik olarak indirecektir.
8

Ayarlar sekmesine gidin ve HDS Durum kartında Etkinleştir öğesine tıklayın.

Ekranın alt kısmındaHDS Aktifleştirildi mesajı görünecektir.
9

Kaynaklarbölümünde yeni oluşturulan kümeye tıklayın.

10

Açılan sayfada Atanmış müşteriler sekmesine tıklayın.

11

Müşterileri ekleöğesine tıklayın.

12

Eklemek istediğiniz müşteriyi açılır menüden seçin.

13

Ekle' ye tıklayın, müşteri kümeye eklenecektir.

14

Kümenize birden fazla müşteri eklemek için 11 ila 13. adımları tekrarlayın.

15

Müşterileri ekledikten sonra ekranın alt kısmındaki Bitti ' ye tıklayın.

Sonraki işlemler

Kurulum sürecini tamamlamak için HDS Kurulum aracını kullanarak Müşteri Ana Anahtarları (CMK'ler) oluşturma bölümünde ayrıntılı olarak açıklandığı gibi HDS Kurulum aracını çalıştırın.

PKCS12 Dosyası Oluşturmak İçin OpenSSL Kullanın

Başlamadan önce

  • OpenSSL, PKCS12 dosyasını HDS Kurulum Aracı'na yüklenmek üzere doğru formata getirmek için kullanılabilecek bir araçtır. Bunu yapmanın başka yolları da var ve biz herhangi bir yolu diğerine tercih etmiyoruz veya desteklemiyoruz.

  • OpenSSL kullanmayı seçerseniz, bu prosedürü X.509 Sertifika Gereksinimleribölümünde X.509 sertifika gereksinimlerini karşılayan bir dosya oluşturmanıza yardımcı olmak için bir kılavuz olarak sağlıyoruz. Devam etmeden önce bu gereklilikleri anlayın.

  • Desteklenen bir ortama OpenSSL yükleyin. Yazılım ve belgeler için https://www.openssl.org ' e bakın.

  • Özel bir anahtar oluşturun.

  • Sertifika Yetkilinizden (CA) sunucu sertifikasını aldığınızda bu prosedürü başlatın.

1

CA'nızdan sunucu sertifikasını aldığınızda bunu hdsnode.pemolarak kaydedin.

2

Sertifikayı metin olarak görüntüleyin ve ayrıntıları doğrulayın.

openssl x509 -text -noout -in hdsnode.pem

3

hdsnode-bundle.pemadlı bir sertifika paketi dosyası oluşturmak için bir metin düzenleyici kullanın. Paket dosyasında sunucu sertifikası, ara CA sertifikaları ve kök CA sertifikaları aşağıdaki biçimde yer almalıdır:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

kms-private-keyadlı kullanıcı dostu bir adla . p12 dosyasını oluşturun.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sunucu sertifika ayrıntılarını kontrol edin.

  1. openssl pkcs12 -in hdsnode.p12

  2. Özel anahtarın çıktıda listelenmesi için istemde bir parola girin. Daha sonra özel anahtarın ve ilk sertifikanın friendlyName: kms-private-keysatırlarını içerdiğini doğrulayın.

    Örnek:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Sonraki işlemler

' e geri dön Hibrit Veri Güvenliği için Ön Koşulları Tamamla. hdsnode.p12 ] HDS Ana Bilgisayarları için Bir Yapılandırma ISO'su Oluşturmabölümünde ] dosyasını ve bunun için belirlediğiniz parolayı kullanacaksınız.

Orijinal sertifikanın süresi dolduğunda yeni bir sertifika talebinde bulunmak için bu dosyaları yeniden kullanabilirsiniz.

HDS Düğümleri ile Bulut Arasındaki Trafik

Giden Metrik Toplama Trafiği

Hibrit Veri Güvenliği düğümleri belirli ölçümleri Webex bulutuna gönderir. Bunlara yığın maksimum, kullanılan yığın, CPU yükü ve iş parçacığı sayısı için sistem ölçümleri; eşzamanlı ve eşzamansız iş parçacıkları için ölçümler; şifreleme bağlantıları, gecikme veya istek kuyruğu uzunluğu eşiğini içeren uyarılar için ölçümler; veri deposu için ölçümler ve şifreleme bağlantı ölçümleri dahildir. Düğümler şifrelenmiş anahtar materyalini bant dışı (istekten ayrı) bir kanal üzerinden gönderir.

Gelen Trafik

Hibrit Veri Güvenliği düğümleri, Webex bulutundan gelen aşağıdaki türdeki gelen trafiği alır:

  • Şifreleme hizmeti tarafından yönlendirilen istemcilerden gelen şifreleme istekleri

  • Düğüm yazılımının yükseltmeleri

Karma veri güvenliği için SQUID Proxy 'Lerini yapılandırma

WebSocket, SQUID Proxy Ile bağlanamıyor

HTTPS trafiğini inceleyen Squid proxy'leri, Hibrit Veri Güvenliği'nin gerektirdiği web soketi (wss:) bağlantılarının kurulmasına müdahale edebilir. Bu bölümler, hizmetlerin düzgün çalışması için Squid'in çeşitli sürümlerinin wss: trafiğini yok sayacak şekilde nasıl yapılandırılacağına ilişkin rehberlik sağlar.

SQUID 4 ve 5

on_unsupported_protocol yönergesini squid.conf'ye ekleyin :

on_unsupported_protocol tunnel all

Squid 3.5.27

Aşağıdaki kuralları squid.conf' e ekleyerek Hibrit Veri Güvenliğini başarıyla test ettik. Bu kurallar, Özellikler geliştirdiğimiz ve Webex bulutu güncelliyoruz. değişir.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Bu makale yararlı oldu mu?
Bu makale yararlı oldu mu?
FiyatlarWebex UygulamasıMeetingsCallingMesajlaşmaEkran Paylaşımı
Webex SuiteCallingMeetingsMesajlaşmaSlidoWeb SeminerleriEtkinliklerİrtibat MerkeziCPaaSGüvenlikControl Hub
kulaklıklarKameralarMasa SerisiOda SerisiTahta SerisiTelefon SerisiAksesuarlar
EğitimSağlıkKamuFinansSpor ve EğlenceÖn sahaKar amacı gütmeyenBaşlangıç FirmalarıKarma Çalışma
İndirmelerBir Test Toplantısına KatılınÇevrimiçi DerslerEntegrasyonErişilebilirlikKapsayıcılıkCanlı ve İsteğe Bağlı Web SeminerleriWebex TopluluğuWebex GeliştiricileriHaberler & Yenilikler
CiscoDesteğe BaşvurunSatış ile İletişime GeçWebex BlogWebex Düşünce LiderliğiWebex Ürün MağazasıKariyer
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Hüküm ve KoşullarGizlilik BeyanıÇerezlerTicari Markalar
©2025 Cisco ve/veya bağlı kuruluşları. Tüm hakları saklıdır.
Hüküm ve KoşullarGizlilik BeyanıÇerezlerTicari Markalar