Іноді вам може знадобитися змінити конфігурацію вузла гібридної безпеки даних з такої причини, як:

  • Оновлення облікового запису комп 'ютера

  • Зміна сертифікатів x.509 через закінчення терміну дії або інші причини.

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовується для реєстрації кластера.

  • Оновлення параметрів бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

    Ми не підтримуємо перенесення даних з PostgreSQL до Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, розпочніть нове розгортання гібридної системи захисту даних.

  • Створення нової конфігурації для підготовки нового центру обробки даних.

Крім того, з метою безпеки Hybrid Data Security використовує паролі службових облікових записів, термін дії яких становить дев'ять місяців. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з ваших вузлів HDS у файлі конфігурації ISO. Коли паролі вашої організації наближаються до закінчення терміну дії, ви отримуєте повідомлення від команди Webex про скидання пароля для облікового запису вашого комп'ютера. (Електронний лист містить текст "Використовуйте API облікового запису машини, щоб оновити пароль.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • Програмне скидання— старі й нові паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Жорстке скидання— старі паролі негайно припиняють працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл конфігурації ISO і застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Для процесу настроювання потрібні облікові дані облікового запису Центру керування з повними правами адміністратора вашої організації.

    Якщо інструмент налаштування HDS працює за проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відкриття Docker-контейнера. У цій таблиці наведено деякі можливі змінні середовища:

    Сховище док-станцій, яке використовується для інструмента налаштування HDS, змінено на ciscocitg у грудні 2022 року (раніше, ciscosparkhds).

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS проксі з автентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Щоб створити нову конфігурацію, вам потрібна копія поточного файла конфігурації ISO. ISO містить головний ключ для шифрування бази даних PostgreSQL або Microsoft SQL Server. ISO потрібен під час внесення змін у конфігурацію, включаючи облікові дані бази даних, оновлення сертифікатів або зміни в політиці авторизації.

1

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних середовищах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Цей крок очищає попередні зображення інструменту налаштування HDS. Якщо попередніх зображень немає, програма повертає помилку, яку ви можете проігнорувати.

  2. Щоб увійти до реєстру Docker-зображень, введіть наступне:

    docker login -u hdscustomersro

  3. На запиті пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних середовищах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Обов 'язково потягніть найновіший інструмент налаштування для цієї процедури. Версії інструмента, створені до 22 лютого 2018 року, не мають екранів скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • У звичайних середовищах з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах із проксі-сервером HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • У середовищах FedRAMP з http проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер працює, ви бачите "Експрес-сервер, що прослуховує порт 8080".

  6. Використовуйте браузер для підключення до localhost, http://127.0.0.1:8080.

    Інструмент налаштування не підтримує підключення до localhost через http://localhost:8080. Використовуйте http://127.0.0.1:8080 для підключення до localhost.

  7. Коли з’явиться відповідний запит, введіть облікові дані для входу клієнта Control Hub, а потім клацніть Прийняти , щоб продовжити.

  8. Імпортувати поточний файл конфігурації ISO.

  9. Дотримуйтеся вказівок, щоб завершити роботу інструменту та завантажити оновлений файл.

    Щоб закрити інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2

Якщо у вас працює лише один вузол HDS, створіть новий вузол гібридної безпеки даних VM і зареєструйте його, використовуючи новий файл ISO конфігурації. Для отримання більш детальних інструкцій див. Створити та зареєструвати більше вузлів у посібнику з розгортання.

  1. Встановіть HDS-хост OVA.

  2. Налаштуйте віртуальну машину HDS.

  3. Змонтувати оновлений файл конфігурації.

  4. Зареєструйте новий вузол в Control Hub.

3

Для існуючих вузлів HDS, у яких запущено старий файл конфігурації, змонтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. У лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Edit Settings (Редагувати налаштування).

  3. Клацніть CD/DVD Drive 1, виберіть параметр для змонтування з файлу ISO і перейдіть до розташування, де завантажено новий файл ISO конфігурації.

  4. Перевірте підключення при увімкненому живленні.

  5. Заощаджуйте зміни та енергію на віртуальній машині.

4

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, який виконує стару конфігурацію.