Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:

  • Машинний обліковий запис створено

  • Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.


     

    Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовувався для реєстрації кластера.

  • Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.


     

    Ми не підтримуємо перенесення даних з PostgreSQL на Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, запустіть нове розгортання Hybrid Data Security.

  • Створення нової конфігурації для підготовки нового дата-центру.

Крім того, в цілях безпеки Hybrid Data Security використовує паролі облікових записів, які мають дев 'ятимісячний термін служби. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з вузлів HDS у файлі конфігурації ISO. Коли термін дії паролів вашої організації наближається до закінчення, ви отримуєте сповіщення від команди Webex про скидання пароля для облікового запису вашого комп 'ютера. (Електронний лист містить текст: «Використовуйте API облікового запису машини для оновлення пароля.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

  • М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.

  • Hard Reset- старі паролі негайно перестають працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

Перш ніж почати

  • Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

    Якщо інструмент налаштування HDS працює за проксі-сервером у вашому середовищі, надайте налаштування проксі-сервера (сервер, порт, облікові дані) через змінні середовища Docker під час виведення контейнера Docker. У цій таблиці наведено деякі можливі змінні середовища:


     
    Репозиторій docker, який ми використовуємо для інструменту налаштування HDS, змінено на ciscocitg у грудні 2022 року (з ciscosparkhds раніше

    Опис

    Змінна

    HTTP-проксі без автентифікації

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-проксі без автентифікації

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-проксі з автентифікацією

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-проксі з аутентифікацією

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

1.

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

  1. У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

    У звичайних умовах:

    docker rmi ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

  2. Щоб увійти до реєстру Docker-образів, введіть наступне:

    docker login -u hdscustomersro

  3. У підказці пароля введіть цей хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Завантажте останнє стабільне зображення для вашого середовища:

    У звичайних умовах:

    docker pull ciscocitg/hds-setup:stable

    У середовищах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Переконайтеся, що ви витягли останній інструмент налаштування для цієї процедури. Версії інструменту, створені до 22 лютого 2018 року, не мають екранів для скидання пароля.

  5. Після завершення витягування введіть відповідну команду для вашого середовища:

    • У звичайних середовищах без проксі-сервера:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTP-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У звичайних середовищах з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • У середовищах FedRAMP без проксі-сервера:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • У середовищах FedRAMP з HTTP-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • У середовищах FedRAMP з HTTPS-проксі:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

  6. Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.


     

    Інструмент налаштування не підтримує підключення до локального хоста через http://localhost:8080. Використовувати http://127.0.0.1:8080 для підключення до локального хоста.

  7. Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.

  8. Імпортуйте поточний файл конфігурації ISO.

  9. Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

    Щоб вимкнути інструмент налаштування, введіть CTRL+C.

  10. Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

2.

Якщо у вас працює лише один вузол HDS, створіть нову віртуальну машину з гібридною системою безпеки даних і зареєструйте її за допомогою нового файлу конфігурації ISO. Докладніші інструкції див. у розділі Створення та реєстрація додаткових вузлів посібника з розгортання.

  1. Встановіть HDS хост OVA.

  2. Налаштуйте HDS VM.

  3. Змонтуйте оновлений файл конфігурації.

  4. Зареєструйте новий вузол в Control Hub.

3.

Для існуючих вузлів HDS, які працюють зі старим файлом конфігурації, монтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

  1. Вимкніть віртуальну машину.

  2. На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.

  3. Натисніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.

  4. Перевірте підключення при увімкненому живленні.

  5. Збережіть зміни та ввімкніть віртуальну машину.

4.

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.