Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:
  • Оновлення облікового запису комп 'ютера

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу настроювання потрібні облікові дані облікового запису Центру керування з повними правами адміністратора вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відкриття Docker-контейнера. У цій таблиці наведено деякі можливі змінні середовища:

    Сховище докерів, яке ми використовуємо для інструмента налаштування HDS, змінено на ciscocitg у грудні 2022 року (від ciscosparkhds раніше).

    Опис

    Змінна

    HTTP-проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTPS проксі без автентифікації

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://СЕРВЕР_IP:ПОРТ

    HTTP-проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTP_PROXY=http://ІМ’Я КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

    HTTPS проксі з автентифікацією

    ГЛОБАЛЬНИЙ_ОПЕРАТОР_HTTPS_PROXY=http://ІМ’Я_КОРИСТУВАЧА:ПАРОЛЬ@СЕРВЕР_IP:ПОРТ

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/ hds- setup- fedramp: stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login - u hdscustomersro
  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds- setup- fedramp: stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 -- rm -it ciscocitg/hds- setup:stable
    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup:stable
    • У звичайних середовищах із проксі-сервером HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • У середовищах FedRAMP без проксі-сервера:

      docker run - p 8080: 8080 -- rm - it ciscocitg/ hds- setup- fedramp: stable
    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds- setup- fedramp:stable
    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://СЕРВЕР_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер запущений, ви бачите "Експрес-прослуховування сервера на порту 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Control Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Для отримання більш детальних інструкцій див. Створити та зареєструвати більше вузлів у посібнику з розгортання.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол в Control Hub.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Натисніть CD /DVD-дисковод 1, виберіть параметр для монтування з файлу ISO та перейдіть до розташування, куди ви завантажили файл ISO нової конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.