Deployment guide for Webex Hybrid Data Security

8 жовтня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

14 серпня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

5 серпня 2020 р.

Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

16 червня 2020 р.

Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

4 червня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS для змін у розширених налаштуваннях, які ви можете встановити.

29 травня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS щоб показати, що також можна використовувати TLS з базами даних SQL Server, змінами інтерфейсу користувача та іншими роз’ясненнями.

5 травня 2020 р.

Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

21 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

1 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

20 лютого 2020 р. Оновлено Створіть ISO конфігурації для хостів HDS з інформацією на новому екрані додаткових додаткових параметрів у інструменті налаштування HDS.

4 лютого 2020 р Оновлено Вимоги до проксі-сервера .

16 грудня 2019 р. Роз’яснено вимоги до роботи в режимі роздільної здатності заблокованого зовнішнього DNS Вимоги до проксі-сервера .

19 листопада 2019 р.

Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

Підтримка проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі
Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

8 листопада 2019 р.

Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

Відповідно оновлено такі розділи:

Потік завдань розгортання безпеки гібридних даних
Установіть OVA хоста HDS
Налаштуйте віртуальну машину гібридної безпеки даних

Параметр налаштування мережевих параметрів під час розгортання OVA перевірено в ESXi 6.5. Цей параметр може бути недоступний у попередніх версіях.

6 вересня 2019 р.

Стандартний SQL Server додано до Вимоги до сервера бази даних .

29 серпня 2019 року Додано Налаштуйте проксі Squid для гібридної безпеки даних додаток із інструкціями щодо налаштування проксі Squid для ігнорування трафіку вебсокетів для належної роботи.

20 серпня 2019 р.

Додані й оновлені розділи, які охоплюють підтримку проксі-сервера для зв’язку вузла гібридної безпеки даних із хмарою Webex.

Підтримка проксі-сервера
Вимоги до проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі

Щоб отримати доступ лише до контенту підтримки проксі для наявного розгортання, див Підтримка проксі для гібридної безпеки даних і Webex Video Mesh довідкова стаття.

13 червня 2019 року Оновлено Потік завдань із пробної версії до виробничого з нагадуванням про синхронізацію HdsTrialGroup об’єкт групи перед початком ознайомлювальної версії, якщо ваша організація використовує синхронізацію каталогів.

6 березня 2019 року

Вимоги та обов’язкові умови переміщено в окремий розділ, Підготуйте своє середовище .
Додано Потік завдань розгортання безпеки гібридних даних огляд у розділі Налаштуйте кластер гібридної безпеки даних .

Зауважено, що поки ви не почнете ознайомлювальну версію (використовуючи інструкції в наступному розділі), ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.
Додано Потік завдань із пробної версії до виробничого у розділі Запустіть ознайомлювальну версію та перейдіть до робочої версії .

28 лютого 2019 року

Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

26 лютого 2019 р.

Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.
Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

24 січня 2019 р.

Hybrid Data Security тепер підтримує Microsoft SQL Server як базу даних. Параметр SQL Server Always On (Always On Failover Clusters and Always On Availability Groups) підтримується драйверами JDBC, які використовуються в гібридній безпеці даних. Додано контент, пов’язаний із розгортанням за допомогою SQL Server.

Підтримку Microsoft SQL Server призначено лише для нового розгортання служби безпеки даних гібридного типу. Наразі міграція даних із PostgreSQL у Microsoft SQL Server у наявному розгортанні не підтримується.

5 листопада 2018 року

Додано попередній крок для очищення наявних екземплярів Docker hds Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .
Оновлено крок рівня доступу до ключів Створіть ISO конфігурації для хостів HDS щоб відповідати інтерфейсу.

19 жовтня 2018 року

Розділіть інформацію про підключення брандмауера на вимоги до вузла та вимоги комп’ютера до конфігурації ISO Виконайте обов’язкові умови для гібридної безпеки даних .

31 липня 2018 року

Додано порт 22 (доступ SSH) і інформацію про NAT і підключення до брандмауера Виконайте обов’язкові умови для гібридної безпеки даних .

21 травня 2018 р.

Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.
Програма Cisco Spark тепер стала програмою Webex.
Хмара Cisco Collaboraton тепер хмара Webex.

11 квітня 2018 року

Додано Резервний центр обробки даних для аварійного відновлення .
Оновлено Виконайте обов’язкові умови для гібридної безпеки даних щоб указати, що середовище резервного копіювання має бути в іншому центрі обробки даних.
Оновлено Аварійне відновлення за допомогою резервного центру обробки даних .

22 лютого 2018 р.

Додано інформацію про 9-місячний термін дії пароля облікового запису служби та використання інструмента налаштування HDS для скидання паролів облікового запису служби в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

15 лютого 2018 року

У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

18 січня 2018 року

Додано додаток, Трафік між вузлами HDS і хмарою .
Вилучено вирішену проблему з Відомі проблеми безпеки гібридних даних .
index.docker.io змінено на *.docker.io та додано *.cloudfront.net до списку вимог до підключення TCP для вузлів HDS у Виконайте обов’язкові умови для гібридної безпеки даних .
Оновлено Створіть ISO конфігурації для хостів HDS щоб зазначити, що якщо хост бази даних і сервер Syslogd не можна розпізнати DNS на вузлах HDS, їх потрібно налаштувати за допомогою IP-адрес.

2 листопада 2017 року

Уточнена синхронізація каталогів HdsTrialGroup.
Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

18 серпня 2017 року

Вперше опубліковано

Почніть роботу з гібридною безпекою даних

Огляд безпеки гібридних даних

З першого дня безпека даних була головним у розробці програми Webex. Наріжним каменем цієї безпеки є наскрізне шифрування контенту, що забезпечується клієнтами Webex App, які взаємодіють зі Службою керування ключами (KMS). KMS відповідає за створення і управління криптографічними ключами, які клієнти використовують для динамічного шифрування і розшифрування повідомлень і файлів.

За замовчуванням усі клієнти програми Webex отримують наскрізне шифрування за допомогою динамічних ключів, що зберігаються в хмарному KMS, у сфері безпеки Cisco. Hybrid Data Security переміщує KMS та інші функції, пов 'язані з безпекою, до вашого корпоративного центру обробки даних, тому ніхто, крім вас, не має ключів до вашого зашифрованого вмісту.

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

***Області розділення (без гібридної безпеки даних)***

Щоб краще зрозуміти гібридну безпеку даних, давайте спочатку розглянемо цей випадок у чистому вигляді, коли Cisco надає всі функції у своїх хмарних сферах. Служба ідентифікації, єдине місце, де користувачів можна безпосередньо зв’язати з їхньою особистою інформацією, як-от адреса електронної пошти, логічно та фізично відокремлена від області безпеки в центрі обробки даних B. Обидва, у свою чергу, відокремлені від області, де зберігається зашифрований контент. , у центрі обробки даних C.

На цій діаграмі клієнтом є програма Webex, що запущена на ноутбуці користувача та пройшла автентифікацію за допомогою служби ідентифікації. Коли користувач створює повідомлення для надсилання до простору, виконуються такі кроки:

Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.
Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.
Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.
Зашифроване повідомлення зберігається в області сховища.

Під час розгортання гібридної безпеки даних функції області безпеки (KMS, індексація та відповідність вимогам) переносяться до локального центру обробки даних. Інші хмарні служби, що складають Webex (зокрема, ідентифікаційні дані та сховище контенту) залишаються в сферах Cisco.

Співпраця з іншими організаціями

Користувачі у вашій організації можуть регулярно використовувати програму Webex для співпраці із зовнішніми учасниками в інших організаціях. Коли один із користувачів запитує ключ для простору, що належить вашій організації (оскільки його створив один із ваших користувачів), KMS надсилає ключ клієнту через захищений канал ECDH. Однак, коли ключ для простору володіє інша організація, KMS маршрутизує запит до хмари Webex через окремий канал ECDH, щоб отримати ключ із відповідного KMS, а потім повертає ключ користувачеві в оригінальному каналі.

Служба KMS, що працює в організації A, перевіряє підключення до KMS в інших організаціях за допомогою сертифікатів PKI x.509. Див Підготуйте своє середовище Докладніше про створення сертифіката x.509 для використання з розгортанням гібридної безпеки даних.

Очікування щодо розгортання гібридної безпеки даних

Розгортання гібридної безпеки даних вимагає значних зобов’язань клієнта та усвідомлення ризиків, пов’язаних із володінням ключами шифрування.

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Захищений центр обробки даних у країні, яка є підтримуване розташування для планів Cisco Webex Teams .
Обладнання, програмне забезпечення та доступ до мережі, описані в Підготуйте своє середовище .

Повна втрата ISO конфігурації, створеної для гібридної безпеки даних, або наданої вами бази даних призведе до втрати ключів. Втрата ключа не дозволяє користувачам розшифрувати вміст простору та інші зашифровані дані в програмі Webex. Якщо це станеться, можна створити нове розгортання, але видимим буде лише новий контент. Щоб уникнути втрати доступу до даних, необхідно:

Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.
Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.

Немає механізму переміщення ключів назад до хмари після розгортання HDS.

Процес налаштування високого рівня

У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.
Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.
Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.
Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

Модель розгортання гібридної безпеки даних

У межах корпоративного центру обробки даних ви розгортаєте гібридну безпеку даних як єдиний кластер вузлів на окремих віртуальних хостах. Вузли взаємодіють із хмарою Webex через захищені вебсокети та захищений HTTP.

Під час процесу встановлення ми надаємо вам файл OVA для налаштування віртуального пристрою на наданих вами віртуальних машинах. За допомогою інструмента налаштування HDS можна створити користувацький ISO-файл конфігурації кластера, який монтується на кожному вузлі. Кластер гібридної безпеки даних використовує наданий вами сервер Syslogd і базу даних PostgreSQL або Microsoft SQL Server. (Ви налаштовуєте системний журнал і деталі підключення до бази даних у інструменті налаштування HDS.)

Модель розгортання гібридної безпеки даних

Мінімальна кількість вузлів, які можна мати в кластері, становить два. Рекомендовано принаймні три, а можна до п’яти. Наявність кількох вузлів гарантує, що обслуговування не буде перервано під час оновлення програмного забезпечення або інших дій з обслуговування на вузлі. (У хмарі Webex одночасно оновлюється лише один вузол.)

Усі вузли в кластері отримують доступ до одного сховища ключових даних і реєструють дії на одному сервері системних журналів. Самі вузли не мають стану та обробляють запити ключів у циклічному порядку, відповідно до вказівок хмари.

Вузли стають активними, коли ви реєструєте їх у Control Hub. Щоб вимкнути окремий вузол, можна скасувати його реєстрацію, а пізніше за потреби зареєструвати повторно.

Ми підтримуємо лише один кластер на організацію.

Ознайомлювальний режим безпеки гібридних даних

Після налаштування розгортання гібридної безпеки даних ви спочатку спробуєте його з набором пілотних користувачів. Протягом пробного періоду ці користувачі використовують ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Інші ваші користувачі продовжують використовувати область хмарної безпеки.

Якщо ви вирішите не продовжувати розгортання під час пробної версії та деактивуєте службу, пілотні користувачі та всі користувачі, з якими вони взаємодіяли шляхом створення нових просторів протягом пробного періоду, втратять доступ до повідомлень і контенту. У програмі Webex вони побачать повідомлення "Це повідомлення неможливо розшифрувати".

Якщо ви впевнені, що ваше розгортання працює добре для користувачів пробної версії, і ви готові поширити гібридну безпеку даних на всіх своїх користувачів, ви переміщуєте розгортання до робочої версії. Пілотні користувачі продовжують мати доступ до ключів, які використовувалися під час ознайомлювальної версії. Однак ви не можете переходити між робочим режимом і вихідним ознайомлювальним режимом. Якщо ви повинні деактивувати службу, наприклад, для виконання аварійного відновлення, під час повторної активації необхідно почати нову ознайомлювальну версію та налаштувати набір пілотних користувачів для нової ознайомлювальної версії, перш ніж повернутися до робочого режиму. Те, чи збережуть користувачі доступ до даних на цьому етапі, залежить від того, чи успішно ви створили резервні копії сховища ключових даних і файлу конфігурації ISO для вузлів гібридної безпеки даних у вашому кластері.

Резервний центр обробки даних для аварійного відновлення

Під час розгортання ви налаштовуєте захищений резервний центр обробки даних. У разі аварійної ситуації в центрі обробки даних можна вручну зупинити розгортання в резервному центрі обробки даних.

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode. — ***Ручне перемикання на резервний центр обробки даних***

Бази даних активного та резервного центрів обробки даних синхронізовані одна з одною, що мінімізує час, необхідний для перемикання на помилку. Файл ISO резервного центру обробки даних оновлено додатковими конфігураціями, які гарантують, що вузли зареєстровані в організації, але не оброблятимуть трафік. Тому вузли резервного центру обробки даних завжди залишаються в актуальному стані з останньою версією програмного забезпечення HDS.

Активні вузли гібридної безпеки даних повинні завжди перебувати в тому самому центрі обробки даних, що й активний сервер бази даних.

Налаштуйте резервний центр обробки даних для аварійного відновлення

Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

Перш ніж почати

Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)
Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Файл ISO має бути копією вихідного файлу ISO основного центру обробки даних, у якому необхідно виконати наведені далі оновлення конфігурації.

Після налаштування сервера Syslogd клацніть Розширені налаштування

На Розширені налаштування сторінку, додайте конфігурацію нижче, щоб перевести вузол у пасивний режим. У цьому режимі вузол буде зареєстровано в організації та підключено до хмари, але не оброблятиме трафік.


passiveMode: 'true'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Створіть резервну копію файлу ISO у локальній системі. Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

На лівій панелі навігації клієнта VMware vSphere клацніть правою кнопкою миші віртуальну машину й клацніть Змінити налаштування. .

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Переконайтеся, що Підключено і Підключіться після ввімкнення перевірено, щоб оновлені зміни конфігурації набули чинності після запуску вузлів.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Перевірте системні журнали, щоб переконатися, що вузли перебувають у пасивному режимі. Ви повинні мати змогу переглядати повідомлення «KMS налаштовано в пасивному режимі» в системних журналах.

Що далі

Після налаштування passiveMode у файлі ISO та після його збереження можна створити іншу копію файлу ISO без файлу passiveMode конфігурацію та збережіть її в захищеному місці. Ця копія файлу ISO без passiveMode configured може допомогти в швидкому перемиканні на помилку під час аварійного відновлення. Див Аварійне відновлення за допомогою резервного центру обробки даних для детальної процедури переходу до відмови.

Підтримка проксі-сервера

Гібридна безпека даних підтримує явні, прозорі проксі-сервери з перевіркою та без перевірки. Можна прив’язати ці проксі-сервери до свого розгортання, щоб захищати та відстежувати трафік від підприємства до хмари. Ви можете використовувати інтерфейс адміністратора платформи на вузлах для керування сертифікатами та для перевірки загального стану підключення після налаштування проксі-сервера на вузлах.

Вузли гібридної безпеки даних підтримують такі параметри проксі:

Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.
Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:
1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.
2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.
3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:
  - HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.
  - HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.
4. Тип автентифікації — Виберіть один із таких типів автентифікації:
  - Немає — подальша автентифікація не потрібна.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
  - Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.
  - Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.
    
    Доступно, лише якщо вибрано HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі

На цій діаграмі показано приклад підключення між гібридною безпекою даних, мережею та проксі. Для параметрів проксі-сервера з прозорою перевіркою та явною перевіркою HTTPS необхідно встановити той самий кореневий сертифікат на проксі-сервері та вузлах гібридної безпеки даних.

Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. У розгортаннях із явними конфігураціями проксі, які не дозволяють роздільну здатність зовнішнього DNS для внутрішніх клієнтів, якщо вузол не може запитувати сервери DNS, він автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS. У цьому режимі можна продовжити реєстрацію вузла та інші тести підключення проксі.

Підготуйте своє середовище

Вимоги до гібридної безпеки даних

Вимоги до ліцензії Cisco Webex

Щоб розгорнути гібридну безпеку даних:

Ви повинні мати пакет Pro для Cisco Webex Control Hub. (Дивhttps://www.cisco.com/go/pro-pack .)

Вимоги до Docker Desktop

Перш ніж установити вузли HDS, необхідно запустити програму встановлення Docker Desktop. Docker нещодавно оновив свою модель ліцензування. Для вашої організації може знадобитися платна підписка на Docker Desktop. Докладніше див. у дописі до блогу Docker "Docker оновлює та розширює наші підписки на продукти".

Вимоги до сертифіката X.509

Ланцюжок сертифікатів має відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних
Вимоги	Відомості
Підписано довіреним центром сертифікації (CA)	За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .
Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних Не є сертифікатом із символом підстановки	CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, `hds.company.com`. CN не повинна містити символ * (підстановка). CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3. Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.
Підпис не SHA1	Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.
Відформатовано як файл PKCS № 12, захищений паролем Використовуйте дружнє ім’я користувача `kms-private-key` щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.	Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL. Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

Програмне забезпечення KMS не встановлює обмеження щодо використання ключів або розширеного використання ключів. Деякі центри сертифікації вимагають, щоб до кожного сертифіката були застосовані розширені обмеження використання ключів, наприклад автентифікація сервера. Можна використовувати автентифікацію сервера або інші налаштування.

Вимоги до віртуального хоста

Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних
VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.

Необхідно оновити версію, якщо у вас є попередня версія ESXi.
Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

Вимоги до сервера бази даних

Створіть нову базу даних для зберігання ключів. Не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.

Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 або 16, установлено та запущено.

Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).

Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

Мінімум 8 vCPU, 16 ГБ основної пам’яті, достатньо простору на жорсткому диску та моніторинг, щоб гарантувати, що воно не перевищено (рекомендується 2 ТБ, якщо ви хочете працювати з базою даних протягом тривалого часу без необхідності збільшувати обсяг сховища).

Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

PostgreSQL	Microsoft SQL Server
Драйвер JDBC Postgres 42.2.5	Драйвер JDBC SQL Server 4.6 Ця версія драйвера підтримує SQL Server Always On ( Завжди ввімкнені екземпляри кластера перемикання і Завжди ввімкнені групи доступності ).

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Ця версія драйвера підтримує SQL Server Always On ( Завжди ввімкнені екземпляри кластера перемикання і Завжди ввімкнені групи доступності ).

Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

Якщо ви хочете, щоб вузли HDS використовували автентифікацію Windows для отримання доступу до бази даних сховища ключів на Microsoft SQL Server, вам потрібна така конфігурація у вашому середовищі:

Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.
Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.
Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).
Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

Вимоги до зовнішнього підключення

Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

Застосування	Протокол	Порт	Напрямок із програми	Призначення
Вузли гібридної безпеки даних	TCP	443	Вихідні HTTPS і WSS	Сервери Webex: .wbx2.com .ciscospark.com Усі хости Common Identity Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex
Інструмент налаштування HDS	TCP	443	Вихідний HTTPS	*.wbx2.com Усі хости Common Identity hub.docker.com

Вузли гібридної безпеки даних працюють із трансляцією доступу до мережі (NAT) або за брандмауером, якщо NAT або брандмауер дозволяє використовувати необхідні вихідні підключення до адресатів домену, наведених у попередній таблиці. Для вхідних підключень до вузлів гібридної безпеки даних порти з інтернету не повинні бути видимими. У вашому центрі обробки даних клієнтам потрібен доступ до вузлів гібридної безпеки даних на портах TCP 443 і 22 для адміністративних цілей.

URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

Регіон	URL-адреси хоста спільних ідентифікаційних даних
Північна та Південна Америки	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Європейський Союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Вимоги до проксі-сервера

Ми офіційно підтримуємо такі проксі-рішення, які можна інтегрувати з вашими вузлами гібридної безпеки даних.

Прозорий проксі — Cisco Web Security Appliance (WSA).

Явний проксі — Squid.

Проксі-сервери Squid, які перевіряють трафік HTTPS, можуть перешкоджати встановленню вебсокета (wss:) зв’язки. Щоб вирішити цю проблему, див Налаштуйте проксі Squid для гібридної безпеки даних .

Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:
- Немає автентифікації за допомогою HTTP або HTTPS
- Базова автентифікація за допомогою HTTP або HTTPS
- Дайджест автентифікації лише за допомогою HTTPS
Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.
Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.
Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

Виконайте обов’язкові умови для гібридної безпеки даних

Використовуйте цей контрольний список, щоб переконатися, що ви готові до встановлення та налаштування кластера гібридної безпеки даних.

Переконайтеся, що у вашій організації Webex увімкнено Pro Pack for Cisco Webex Control Hub, і отримайте облікові дані облікового запису з повними правами адміністратора організації. Зверніться до партнера Cisco або менеджера облікового запису, щоб отримати допомогу з цим процесом.

Виберіть ім’я домену для розгортання HDS (наприклад, hds.company.com) і отримати ланцюжок сертифікатів, що містить сертифікат X.509, закритий ключ і будь-які проміжні сертифікати. Ланцюжок сертифікатів має відповідати вимогам у Вимоги до сертифіката X.509 .

Підготуйте ідентичні віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері. Вам потрібно принаймні два окремих хоста (рекомендовано 3), розміщені в одному захищеному центрі обробки даних, які відповідають вимогам у Вимоги до віртуального хоста .

Підготуйте сервер бази даних, який буде виконувати функцію сховища ключових даних для кластера, відповідно до Вимоги до сервера бази даних . Сервер бази даних має бути одночасно розташований у захищеному центрі обробки даних із віртуальними хостами.

Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)
Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:
- ім’я хоста або IP-адресу (хост) і порт
- ім’я бази даних (dbname) для зберігання ключів
- ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

Для швидкого аварійного відновлення налаштуйте середовище резервного копіювання в іншому центрі обробки даних. Середовище резервного копіювання відображає виробниче середовище віртуальних машин і сервера бази даних резервного копіювання. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини.

Налаштуйте хост системного журналу для збору журналів із вузлів у кластері. Зібрати його мережеву адресу та порт системного журналу (за замовчуванням – UDP 514).

Створіть політику безпечного резервного копіювання для вузлів гібридної безпеки даних, сервера бази даних і хоста системного журналу. Як мінімум, щоб запобігти втраті даних без можливості відновлення, необхідно створити резервну копію бази даних і файлу ISO конфігурації, створеного для вузлів гібридної безпеки даних.

Оскільки вузли гібридної безпеки даних зберігають ключі, що використовуються для шифрування та розшифровки контенту, неможливість підтримати оперативне розгортання призведе до НЕВІДКЛЮЧЕНА ВТРАТА цього контенту.

Клієнти програми Webex кешують свої ключі, тому перебої в роботі можуть бути помітні не відразу, а з часом. Хоча тимчасові перебої в роботі неможливо запобігти, їх можна відновити. Однак повна втрата (недоступні резервні копії) бази даних або файлу ISO конфігурації призведе до того, що дані клієнта будуть недоступні для відновлення. Очікується, що оператори вузлів гібридної безпеки даних будуть підтримувати часте резервне копіювання бази даних і файлу ISO конфігурації та бути готовими до відновлення центру обробки даних гібридної безпеки даних у разі катастрофічної помилки.

Переконайтеся, що конфігурація брандмауера дозволяє підключатися до вузлів гібридної безпеки даних, як описано в Вимоги до зовнішнього підключення .

Установити Docker (https://www.docker.com ) на будь-якому локальному комп’ютері з підтримуваною ОС (Microsoft Windows 10 Professional або Enterprise 64-розрядна версія або Mac OSX Yosemite 10.10.3 або новішої версії) з веббраузером, який може отримати до неї доступ за адресою http://127.0.0.1:8080.

Ви використовуєте екземпляр Docker для завантаження та запуску засобу налаштування HDS, який створює інформацію про локальну конфігурацію для всіх вузлів гібридної безпеки даних. Вашій організації може знадобитися ліцензія Docker Desktop. Див Вимоги до Docker Desktop для отримання додаткової інформації.

Щоб установити та запустити HDS Setup Tool, локальний комп’ютер повинен мати можливість підключення, описану в Вимоги до зовнішнього підключення .

Якщо ви інтегруєте проксі-сервер із гібридною безпекою даних, переконайтеся, що він відповідає Вимоги до проксі-сервера .

Якщо ваша організація використовує синхронізацію каталогів, створіть групу в Active Directory з викликом HdsTrialGroup, і додати пілотних користувачів. Ознайомлювальна група може налічувати до 250 користувачів. Нараду HdsTrialGroup об’єкт необхідно синхронізувати з хмарою, перш ніж ви зможете почати пробну версію для вашої організації. Щоб синхронізувати об’єкт групи, виберіть його в з’єднувачі каталогу Конфігурація > Вибір об’єкта меню. (Докладні інструкції див Посібник із розгортання для Cisco Directory Connector. )

Ключі для певного простору встановлюються його творцем. Вибираючи пілотних користувачів, пам’ятайте, що якщо ви вирішите остаточно деактивувати розгортання гібридної безпеки даних, усі користувачі втратять доступ до контенту в просторах, які були створені пілотними користувачами. Втрата стає очевидною, щойно програми користувачів оновлять кешовані копії контенту.

Налаштуйте кластер гібридної безпеки даних

Потік завдань розгортання безпеки гібридних даних

Перш ніж почати

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

Використовуйте інструмент налаштування HDS, щоб створити файл конфігурації ISO для вузлів гібридної безпеки даних.

Налаштуйте віртуальну машину гібридної безпеки даних

Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.

Увійдіть на консоль VM і задайте облікові дані для входу. Налаштуйте параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

Якщо мережеве середовище вимагає конфігурації проксі-сервера, укажіть тип проксі, який ви використовуватимете для вузла, і за потреби додайте сертифікат проксі до сховища довіри.

Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

Завершіть налаштування кластера.

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

Завантажте файли встановлення

У цьому завданні ви завантажуєте файл OVA на ваш комп’ютер (а не на сервери, які ви налаштували як вузли гібридної безпеки даних). Цей файл буде використано пізніше в процесі встановлення.

Увійти вhttps://admin.webex.com , а потім клацніть Служби .

У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

Якщо картку вимкнено або ви не бачите її, зверніться до команди облікового запису або партнерської організації. Надайте їм номер свого облікового запису та попросіть увімкнути гібридну безпеку даних у вашій організації. Щоб знайти номер облікового запису, клацніть шестірню у верхньому правому куті поруч із назвою організації.

Ви також можете в будь-який час завантажити OVA з Довідка розділ про Налаштування сторінка. На картці гібридної безпеки даних клацніть Змінити налаштування , щоб відкрити сторінку. Потім клацніть Завантажте програмне забезпечення гібридної безпеки даних в Довідка розділ.

Старші версії пакета програмного забезпечення (OVA) не будуть сумісні з останніми оновленнями гібридної безпеки даних. Це може призвести до проблем під час оновлення програми. Переконайтеся, що ви завантажили останню версію файлу OVA.

Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.

Клацніть за бажанням Відкрийте посібник із розгортання щоб перевірити, чи доступна пізніша версія цього посібника.

Створіть ISO конфігурації для хостів HDS

У процесі налаштування гібридної безпеки даних створюється файл ISO. Потім ви використовуєте ISO для налаштування хоста гібридної безпеки даних.

Перш ніж почати

Інструмент налаштування HDS працює як Docker-контейнер на локальному комп 'ютері. Щоб отримати доступ до нього, запустіть Docker на цьому комп 'ютері. Процес налаштування вимагає облікових даних облікового запису Центру керування з повними правами адміністратора для вашої організації.

Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, надайте параметри проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час виклику контейнера Docker на кроці. 5 . У цій таблиці наведено деякі можливі змінні середовища:

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:
- Облікові дані бази даних
- Оновлення сертифіката
- Зміни політики авторизації
Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Цей крок очищає попередні зображення інструментів налаштування HDS. Якщо попередніх зображень немає, він повертає помилку, яку можна проігнорувати.

Щоб увійти до реєстру Docker-образів, введіть наступне:

docker login -u hdscustomersro

У підказці пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Після завершення витягування введіть відповідну команду для вашого середовища:

У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```

У звичайних середовищах з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У звичайних середовищах з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```

У середовищах FedRAMP з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

У середовищах FedRAMP з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

Інструмент налаштування не підтримує підключення до локального хосту http://localhost:8080. використання http://127.0.0.1:8080 для підключення до локального хосту.

Використовуйте веббраузер, щоб перейти до локального хоста, http://127.0.0.1:8080, і введіть ім’я користувача адміністратора клієнта для Control Hub у відповідь на запит.

Інструмент використовує цей перший запис імені користувача, щоб установити належне середовище для цього облікового запису. Потім інструмент відображає стандартну підказку про вхід.

Коли з’явиться відповідний запит, введіть облікові дані для входу адміністратора клієнта Control Hub, а потім клацніть Увійти щоб дозволити доступ до необхідних служб для гібридної безпеки даних.

На сторінці огляду інструмента налаштування клацніть Почати роботу .

На Імпорт ISO на сторінці, у вас є такі параметри:

Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.

Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
Якщо сертифікат відповідає вимогам, клацніть Продовжити .
Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .

Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.
( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :
- Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.
- Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.
Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

Приклад:
dbhost.example.org:1433 або 198.51.100.17:1433

Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433
Введіть Ім’я бази даних .
Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

Виберіть a Режим підключення до бази даних TLS :

Режим

Опис

Віддати перевагу TLS (параметр за замовчуванням)

Вузли HDS не вимагають TLS для підключення до сервера бази даних. Якщо ввімкнути TLS на сервері бази даних, вузли намагатимуться встановити зашифроване підключення.

Вимагати TLS

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

Вимагати TLS і перевіряти підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

Щоб завантажити кореневий сертифікат для цього параметра, скористайтеся пунктом керування кореневим сертифікатом бази даних під спадним меню.

Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.
Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

Під час передавання кореневого сертифіката (за необхідності) клацніть Продовжити , засіб налаштування HDS перевіряє підключення TLS до сервера бази даних. Інструмент також перевіряє підписувача сертифіката та ім 'я хоста, якщо це можливо. Якщо тест не вдається, інструмент показує повідомлення про помилку, що описує проблему. Ви можете вибрати, чи ігнорувати помилку, і продовжити налаштування. (Через відмінності в можливостях підключення вузли HDS можуть встановити підключення TLS, навіть якщо машині засобу налаштування HDS не вдасться успішно перевірити його.)

На сторінці системних журналів налаштуйте сервер Syslogd:

Введіть URL-адресу сервера системного журналу.

Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

Приклад:
udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.
З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP
- Нульовий байт -- \x00
- Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.
Клацніть Продовжити.

(Необов’язково) Можна змінити значення за замовчуванням для деяких параметрів підключення до бази даних у Розширені налаштування . Як правило, цей параметр є єдиним, який ви можете змінити:

app_datasource_connection_pool_maxSize: 10

Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

Термін дії паролів службових облікових записів становить дев’ять місяців. Використовуйте цей екран, коли термін дії ваших паролів наближається або ви хочете скинути їх, щоб зробити попередні файли ISO недійсними.

Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

Створіть резервну копію файлу ISO у локальній системі.

Зберігайте резервну копію в безпеці. Цей файл містить головний ключ шифрування для вмісту бази даних. Обмежте доступ лише тим адміністраторам гібридної безпеки даних, які повинні вносити зміни в конфігурацію.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.

Що далі

Створіть резервну копію файлу конфігурації ISO. Він потрібен, щоб створити більше вузлів для відновлення або внести зміни в конфігурацію. Якщо ви втратили всі копії файлу ISO, ви також втратили основний ключ. Відновити ключі з бази даних PostgreSQL або Microsoft SQL Server неможливо.

Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

Установіть OVA хоста HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.

Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

Виберіть Файл > Розгорнути шаблон OVF .

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

На Виберіть ім’я та папку сторінки, введіть a Ім’я віртуальної машини для вузла (наприклад, «HDS_ Node_ 1"), виберіть розташування, де може перебувати розгортання вузла віртуальної машини, а потім клацніть Далі .

На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

Запускається перевірка. Після завершення відобразяться відомості про шаблон.

Перевірте відомості шаблону й клацніть Далі .

Якщо вас попросять вибрати конфігурацію ресурсу на Конфігурація сторінки, клацніть 4 ЦП а потім клацніть Далі .

На Виберіть сховище сторінки, клацніть Далі щоб прийняти формат диска за замовчуванням і політику сховища VM.

На Виберіть мережі виберіть мережевий параметр зі списку записів, щоб забезпечити потрібне підключення до VM.

На Налаштувати шаблон налаштуйте такі параметри мережі:

Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.
Загальна довжина FQDN не повинна перевищувати 64 символи.

IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.

Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

За бажанням можна пропустити конфігурацію мережевих параметрів і виконати інструкції Налаштуйте віртуальну машину гібридної безпеки даних щоб налаштувати параметри з консолі вузла.

Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

Програмне забезпечення Hybrid Data Security встановлюється як гість на хості VM. Тепер ви готові ввійти на консоль і налаштувати вузол.

Поради з усунення несправностей

Перед відкриттям контейнерів вузлів може виникнути затримка в кілька хвилин. Повідомлення брандмауера мосту з’являється на консолі під час першого завантаження, під час якого ви не можете ввійти.

Налаштуйте віртуальну машину гібридної безпеки даних

Використовуйте цю процедуру, щоб уперше ввійти до консолі VM вузла гібридної безпеки даних і задати облікові дані для входу. Ви також можете використовувати консоль, щоб налаштувати параметри мережі для вузла, якщо ви не налаштували їх під час розгортання OVA.

1.	У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка. ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
2.	Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних: Вхід: `admin` Пароль: `cisco` Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.
3.	Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.
4.	Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
5.	(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі. Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
6.	Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

Вивантажте та підключіть ISO конфігурації HDS

Використовуйте цю процедуру, щоб налаштувати віртуальну машину з файлу ISO, який ви створили за допомогою засобу налаштування HDS.

Перш ніж почати

Оскільки файл ISO містить основний ключ, його потрібно надавати лише в разі необхідності для доступу віртуальних машин гібридної безпеки даних і всіх адміністраторів, яким може знадобитися внести зміни. Переконайтеся, що лише ці адміністратори мають доступ до сховища даних.

Передайте файл ISO з комп’ютера:

На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.
У списку обладнання на вкладці Конфігурація клацніть Зберігання .
У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .
Клацніть значок Передати файли, а потім клацніть Передати файл .
Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .
Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

Підключіть файл ISO:

На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.
Натисніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.
Перевірте Підключено і Підключіться після ввімкнення .
Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Якщо цього вимагає політика ІТ, ви можете додатково відключити файл ISO після того, як усі вузли отримають зміни конфігурації. Див (Необов’язково) Відключіть ISO після конфігурації HDS для отримання додаткової інформації.

Налаштуйте вузол HDS для інтеграції проксі

Якщо мережеве середовище вимагає проксі, скористайтеся цією процедурою, щоб указати тип проксі, який потрібно інтегрувати з гібридною безпекою даних. Якщо ви виберете прозорий перевіряючий проксі або явний проксі HTTPS, можна використовувати інтерфейс вузла для передавання та встановлення кореневого сертифіката. Ви також можете перевірити підключення проксі в інтерфейсі та усунути будь-які потенційні проблеми.

Перш ніж почати

Див Підтримка проксі для огляду підтримуваних параметрів проксі.
Вимоги до проксі-сервера

1.	Введіть URL-адресу налаштування вузла HDS `https://[HDS Node IP or FQDN]/setup` у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Сховище довіри та проксі , а потім виберіть параметр: Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно. Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно. Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS). Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію: IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер. Тип автентифікації — Виберіть один із таких типів автентифікації: Немає — подальша автентифікація не потрібна. Доступно для проксі-серверів HTTP або HTTPS. Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64. Доступно для проксі-серверів HTTP або HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу. Доступно лише для проксі-серверів HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.
3.	Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі. Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.
4.	Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі. Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми. Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .
5.	Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.
6.	Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові. Вузол перезавантажиться за кілька хвилин.
7.	Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан. Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

Зареєструйте перший вузол у кластері

Це завдання використовує загальний вузол, який ви створили в Налаштуйте віртуальну машину гібридної безпеки даних , реєструє вузол у хмарі Webex і перетворює його на вузол гібридної безпеки даних.

Коли ви реєструєте свій перший вузол, ви створюєте кластер, якому призначено цей вузол. Кластер містить один або кілька вузлів, розгорнутих для забезпечення резервування.

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Увійдіть у https://admin.webex.com.
2.	У меню ліворуч на екрані виберіть Служби .
3.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
4.	Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .
5.	У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних. Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"
6.	У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
7.	Клацніть Перейдіть до Node .
8	Клацніть Продовжити у попередженні. Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
9	Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
10	Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створіть і зареєструйте більше вузлів

Щоб додати додаткові вузли до кластера, потрібно просто створити додаткові віртуальні машини та підключити той самий файл конфігурації, а потім зареєструвати вузол. Рекомендовано мати принаймні 3 вузли.

Зараз резервні VM, які ви створили Виконайте обов’язкові умови для гібридної безпеки даних резервні хости, які використовуються лише в разі аварійного відновлення; вони не зареєстровані в системі до цього часу. Докладніше див Аварійне відновлення за допомогою резервного центру обробки даних .

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .
2.	Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .
3.	На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .
4.	Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.
5.	Зареєструйте вузол. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси . З’явиться сторінка ресурсів безпеки гібридних даних. Клацніть Додати ресурс . У першому полі виберіть ім’я наявного кластера. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex. Клацніть Перейдіть до Node . Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

Що далі

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Запустіть ознайомлювальну версію та перейдіть до робочої версії

Потік завдань із пробної версії до виробничого

Після налаштування кластера гібридної безпеки даних можна запустити пілот, додати до нього користувачів і почати використовувати його для тестування та перевірки розгортання під час підготовки до переходу до робочої версії.

Перш ніж почати

1.	Якщо можливо, синхронізуйте `HdsTrialGroup` об’єкт групи. Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати `HdsTrialGroup` груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.
2.	Активувати ознайомлювальну версію Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.
3.	Перевірте розгортання гібридної безпеки даних Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.
4.	Моніторинг працездатності гібридної безпеки даних Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.
5.	Додавання або видалення користувачів із пробної версії
6.	Завершіть ознайомлювальну фазу, виконавши одну з таких дій: Перейдіть із пробної версії до робочої версії Завершіть ознайомлювальну версію, не переходячи на робочу версію

Активувати ознайомлювальну версію

Перш ніж почати

Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати HdsTrialGroup груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію для вашої організації. Інструкції див Посібник із розгортання для Cisco Directory Connector.

1.	Увійти вhttps://admin.webex.com , а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Стан служби клацніть Почати пробну версію . Стан служби змінюється на ознайомлювальний режим.
4.	Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування. (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, `HdsTrialGroup`.)

Перевірте розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

Перш ніж почати

Налаштуйте розгортання гібридної безпеки даних.
Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.
Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

Ключі для певного простору встановлюються його творцем. Увійдіть у програму Webex як один із пілотних користувачів, а потім створіть простір і запросіть принаймні одного пілотного користувача та одного не пілотного користувача.

Якщо деактивувати розгортання гібридної безпеки даних, контент у просторах, які створюють пілотні користувачі, стане недоступним після заміни кешованих клієнтом копій ключів шифрування.

Надсилайте повідомлення в новий простір.

Перевірте вивід системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

Щоб перевірити, чи є користувач, який спочатку встановлює безпечний канал до KMS, увімкніть фільтр kms.data.method=create і kms.data.type=EPHEMERAL_KEY_COLLECTION.

Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Щоб перевірити наявність користувача, який запитує наявний ключ із KMS, увімкніть фільтр kms.data.method=retrieve і kms.data.type=KEY.

Ви повинні знайти такий запис:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Щоб перевірити, чи є користувач із запитом щодо створення нового ключа KMS, увімкніть фільтр kms.data.method=create і kms.data.type=KEY_COLLECTION.

Ви повинні знайти такий запис:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Щоб перевірити, чи немає користувача, який подав запит щодо створення нового ресурсного об’єкта KMS (KRO), коли створюється простір або інший захищений ресурс, відфільтруйте kms.data.method=create і kms.data.type=RESOURCE_COLLECTION.

Ви повинні знайти такий запис:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг працездатності гібридної безпеки даних

Індикатор стану в Control Hub показує, чи все гаразд із розгортанням гібридної безпеки даних. Щоб отримати більше проактивних сповіщень, зареєструйтеся на отримання сповіщень електронною поштою. Ви отримаєте сповіщення про попередження, що впливають на службу, або оновлення програмного забезпечення.

1.	У Control Hub , виберіть Служби з меню в лівій частині екрана.
2.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка параметрів безпеки гібридних даних.
3.	У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

Додавання або видалення користувачів із пробної версії

Після активації пробної версії й додавання початкового набору користувачів пробної версії можна додавати або видаляти учасників пробної версії будь-коли, поки пробна версія активна.

Якщо видалити користувача з ознайомлювальної версії, клієнт цього користувача запитуватиме ключі та створення ключів із хмарного KMS замість вашої KMS. Якщо клієнту потрібен ключ, який зберігається у вашій KMS, хмарний KMS отримає його від імені користувача.

Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory (замість цієї процедури) для керування ознайомлювальною групою, HdsTrialGroup; Ви можете переглядати учасників групи в Control Hub, але не можете додавати або видаляти їх.

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.
4.	Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

Перейдіть із пробної версії до робочої версії

Коли ви переконаєтеся, що ваше розгортання працює добре для користувачів пробної версії, можна перейти до робочої версії. Після переходу до робочої версії всі користувачі в організації використовуватимуть ваш локальний домен гібридної безпеки даних для ключів шифрування та інших служб безпеки. Неможливо повернутися до ознайомлювального режиму з робочої версії, якщо ви не деактивуєте службу в рамках відновлення після аварій. Для повторної активації служби потрібно налаштувати нову ознайомлювальну версію.

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Стан служби клацніть Перейти до робочої версії .
4.	Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

Завершіть ознайомлювальну версію, не переходячи на робочу версію

Якщо під час використання пробної версії ви вирішите не продовжувати розгортання гібридної безпеки даних, можна деактивувати гібридну безпеку даних, що завершить ознайомлювальну версію й перемістить користувачів пробної версії назад до хмарних служб безпеки даних. Користувачі пробної версії втратять доступ до даних, які були зашифровані під час пробної версії.

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Деактивувати клацніть Деактивувати .
4.	Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

Керуйте своїм розгортанням HDS

Керуйте розгортанням HDS

Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

Установіть розклад оновлення кластерів

Оновлення програмного забезпечення для гібридної безпеки даних виконується автоматично на рівні кластера, що гарантує, що на всіх вузлах завжди запущено ту саму версію програмного забезпечення. Оновлення версії виконуються відповідно до розкладу оновлення версії для кластера. Коли оновлення версії програмного забезпечення стає доступним, у вас є можливість оновити кластер вручну до запланованого часу оновлення. Можна задати конкретний розклад оновлення версії або використовувати розклад за замовчуванням о 3:00 щодня (США): Америка/Лос-Анджелес. За потреби можна також відкласти майбутнє оновлення версії.

Щоб установити розклад оновлення:

1.	Увійдіть в Control Hub.
2.	На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .
3.	На сторінці Ресурси безпеки гібридних даних виберіть кластер.
4.	На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.
5.	На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення. Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

Змініть конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:

Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.

Ми не підтримуємо зміну доменного імені CN сертифіката. Домен повинен відповідати початковому домену, який використовувався для реєстрації кластера.

Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

Ми не підтримуємо перенесення даних з PostgreSQL на Microsoft SQL Server або навпаки. Щоб змінити середовище бази даних, запустіть нове розгортання Hybrid Data Security.

Створення нової конфігурації для підготовки нового дата-центру.

Крім того, в цілях безпеки Hybrid Data Security використовує паролі облікових записів, які мають дев 'ятимісячний термін служби. Після того, як інструмент налаштування HDS генерує ці паролі, ви розгортаєте їх на кожному з вузлів HDS у файлі конфігурації ISO. Коли термін дії паролів вашої організації наближається до закінчення, ви отримуєте сповіщення від команди Webex про скидання пароля для облікового запису вашого комп 'ютера. (Електронний лист містить текст: «Використовуйте API облікового запису машини для оновлення пароля.") Якщо термін дії ваших паролів ще не закінчився, інструмент надає вам два варіанти:

М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.
Hard Reset- старі паролі негайно перестають працювати.

Якщо термін дії ваших паролів закінчується без скидання, це впливає на вашу службу HDS, вимагаючи негайного жорсткого скидання та заміни файлу ISO на всіх вузлах.

Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

Перш ніж почати

Якщо інструмент налаштування HDS працює за допомогою проксі у вашому середовищі, укажіть налаштування проксі (сервер, порт, облікові дані) за допомогою змінних середовища Docker під час відображення контейнера Docker у 1.e . У цій таблиці наведено деякі можливі змінні середовища:

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Щоб увійти до реєстру Docker-образів, введіть наступне:
```
docker login -u hdscustomersro
```
У підказці пароля введіть цей хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Переконайтеся, що ви витягли останній інструмент налаштування для цієї процедури. Версії інструменту, створені до 22 лютого 2018 року, не мають екранів для скидання пароля.

Після завершення витягування введіть відповідну команду для вашого середовища:
- У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```
- У звичайних середовищах з HTTP-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
```
- У звичайних середовищах із HTTPSproxy:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
```
- У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```
- У середовищах FedRAMP з HTTP-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
```
- У середовищах FedRAMP з HTTPS-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
```
Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.

Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.
Імпортуйте поточний файл конфігурації ISO.
Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.
Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

Якщо у вас працює лише один вузол HDS, створіть нову віртуальну машину з гібридною системою безпеки даних і зареєструйте її за допомогою нового файлу конфігурації ISO. Докладні інструкції див Створіть і зареєструйте більше вузлів .

Встановіть HDS хост OVA.
Налаштуйте HDS VM.
Змонтуйте оновлений файл конфігурації.
Зареєструйте новий вузол в Control Hub.

Для існуючих вузлів HDS, які працюють зі старим файлом конфігурації, монтуйте файл ISO. Виконайте наступну процедуру на кожному вузлі по черзі, оновлюючи кожен вузол перед вимкненням наступного вузла:

Вимкніть віртуальну машину.
На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Натисніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.
Перевірте підключення при увімкненому живленні.
Збережіть зміни та ввімкніть віртуальну машину.

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

Коли ви реєструєте вузол або перевіряєте конфігурацію проксі вузла, процес перевіряє пошук DNS і можливість підключення до хмари Cisco Webex. Якщо сервер DNS вузла не може дозволити загальнодоступні імена DNS, вузол автоматично переходить у режим роздільної здатності заблокованого зовнішнього DNS.

Якщо ваші вузли здатні дозволяти публічні імена DNS через внутрішні сервери DNS, можна вимкнути цей режим, повторно запустивши перевірку підключення до проксі на кожному вузлі.

Перш ніж почати

Переконайтеся, що ваші внутрішні сервери DNS можуть дозволяти загальнодоступні імена DNS і що ваші вузли можуть зв’язуватися з ними.

1.	У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Огляд (сторінка за замовчуванням). Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення
3.	Перейдіть до Сховище довіри та проксі сторінка.
4.	Клацніть Перевірте підключення проксі . Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

Що далі

Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Використовуйте цю процедуру, щоб видалити вузол гібридної безпеки даних із хмари Webex. Після видалення вузла з кластера видаліть віртуальну машину, щоб запобігти подальшому доступу до даних безпеки.

Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi та вимкнути віртуальну машину.

Видалити вузол:

Увійдіть у Control Hub, а потім виберіть Служби .
На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.
Виберіть кластер, щоб відобразити панель «Огляд».
Клацніть Відкрити список вузлів .
На вкладці Вузли виберіть вузол, який потрібно видалити.
Клацніть Дії > Скасувати реєстрацію вузла .

У клієнті vSphere видаліть віртуальну машину. (На панелі переходів ліворуч клацніть VM правою кнопкою миші й клацніть Видалити .)

Якщо ви не видалите віртуальну машину, не забудьте відключити файл ISO конфігурації. Без файлу ISO ви не зможете використовувати віртуальну машину для доступу до даних безпеки.

Аварійне відновлення за допомогою резервного центру обробки даних

Найважливіша служба, яку надає кластер гібридної безпеки даних, — це створення та зберігання ключів, що використовуються для шифрування повідомлень та іншого контенту, що зберігається в хмарі Webex. Для кожного користувача в організації, якого призначено до гібридної безпеки даних, запити на створення нових ключів маршрутизуються до кластера. Кластер також відповідає за повернення створених ним ключів будь-яким користувачам, уповноваженим на їх отримання, наприклад учасникам простору розмови.

Оскільки кластер виконує критичну функцію надання цих ключів, важливо, щоб кластер продовжував працювати та підтримувалися належні резервні копії. Втрата бази даних гібридної безпеки даних або ISO конфігурації, що використовується для схеми, призведе до НЕВІДПОВІДАННЯ ВТРАТИ контенту клієнта. Щоб запобігти такій втраті, необхідно дотримуватися наведених нижче дій.

Якщо внаслідок стихійного лиха розгортання HDS в основному центрі обробки даних стає недоступним, виконайте цю процедуру, щоб вручну перейти до резервного центру обробки даних.

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Після налаштування сервера Syslogd клацніть Розширені налаштування

На Розширені налаштування сторінку, додайте конфігурацію нижче або видаліть passiveMode конфігурації, щоб зробити вузол активним. Після налаштування вузол може обробляти трафік.


passiveMode: 'false'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Перевірте вивід системного журналу, щоб переконатися, що вузли резервного центру обробки даних не перебувають у пасивному режимі. "KMS налаштовано в пасивному режимі" не має відображатися в системних журналах.

Що далі

Якщо після відмови основний центр обробки даних знову стане активним, переведіть резервний центр обробки даних у пасивний режим знову, виконавши дії, описані в Налаштуйте резервний центр обробки даних для аварійного відновлення .

(Необов’язково) Відключіть ISO після конфігурації HDS

Стандартна конфігурація HDS працює з установленим ISO. Однак деякі клієнти вважають за краще не залишати файли ISO безперервно підключеними. Можна відключити файл ISO після того, як усі вузли HDS отримають нову конфігурацію.

Ви все ще використовуєте файли ISO для внесення змін конфігурації. Коли ви створюєте новий ISO або оновлюєте ISO за допомогою інструмента налаштування, ви повинні підключити оновлений ISO на всіх вузлах HDS. Після того як усі ваші вузли приймуть зміни конфігурації, ви можете знову відключити ISO за допомогою цієї процедури.

Перш ніж почати

Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

1.	Вимкніть один із вузлів HDS.
2.	У vCenter Server Appliance виберіть вузол HDS.
3.	Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .
4.	Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.
5.	Повторіть по черзі для кожного вузла HDS.

Усунення проблем гібридної безпеки даних

Перегляд сповіщень і усунення несправностей

Розгортання гібридної безпеки даних вважається недоступним, якщо всі вузли в кластері недоступні або кластер працює настільки повільно, що запитує тайм-аут. Якщо користувачі не можуть підключитися до кластера гібридної безпеки даних, у них з’являються такі ознаки:

Неможливо створити нові простори (неможливо створити нові ключі)
Не вдалося розшифрувати повідомлення та назви просторів для:
- До простору додано нових користувачів (не вдається отримати ключі)
- Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)
Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

Важливо належним чином відстежувати кластер гібридної безпеки даних і своєчасно виправляти будь-які сповіщення, щоб уникнути перебоїв у роботі служби.

Сповіщення

Якщо виникла проблема з налаштуванням гібридної безпеки даних, Control Hub відображає сповіщення адміністратору організації та надсилає електронні листи на налаштовану адресу електронної пошти. Сповіщення охоплюють багато поширених сценаріїв.

Таблиця 1. Загальні проблеми та кроки до їх вирішення
Сповіщення	Дія
Помилка доступу до локальної бази даних.	Перевірте помилки бази даних або проблеми з локальною мережею.
Помилка підключення до локальної бази даних.	Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.
Помилка доступу до хмарної служби.	Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .
Поновлення реєстрації хмарної служби.	Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.
Реєстрацію хмарної служби зупинено.	Реєстрацію в хмарних службах припинено. Служба завершується.
Службу ще не активовано.	Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.
Налаштований домен не відповідає сертифікату сервера.	Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби. Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.
Не вдалося автентифікуватися в хмарних службах.	Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.
Не вдалося відкрити файл локального сховища ключів.	Перевірте цілісність і точність пароля у файлі локального сховища ключів.
Сертифікат локального сервера неприпустимий.	Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.
Не вдалося опублікувати показники.	Перевірте доступ локальної мережі до зовнішніх хмарних служб.
/media/configdrive/hds не існує.	Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

Усунення проблем гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.

1.	Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.
2.	Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.
3.	Контакт Підтримка Cisco .

Інші примітки

Відомі проблеми безпеки гібридних даних

Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.
Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

Використовуйте OpenSSL для створення файлу PKCS12

Перш ніж почати

OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.
Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.
Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.
Створіть закритий ключ.
Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

1.	Отримавши сертифікат сервера від CA, збережіть його як `hdsnode.pem`.
2.	Відобразіть сертифікат у вигляді тексту та перевірте відомості. `openssl x509 -text -noout -in hdsnode.pem`
3.	Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою `hdsnode-bundle.pem`. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Створіть файл .p12 зі зручним іменем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5.	Перевірте відомості про сертифікат сервера. `openssl pkcs12 -in hdsnode.p12` Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки `friendlyName: kms-private-key`. Приклад: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Що далі

Повернутися до Виконайте обов’язкові умови для гібридної безпеки даних . Ви використовуватимете hdsnode.p12 файл і пароль, який ви для нього встановили, у Створіть ISO конфігурації для хостів HDS .

Ви можете повторно використовувати ці файли для запиту нового сертифіката після завершення терміну дії оригінального сертифіката.

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вузли гібридної безпеки даних надсилають певні показники до хмари Webex. До них належать системні показники для максимальної кількості накопичувачів, використаної пам’яті, навантаження на ЦП і кількості потоків; метрики для синхронних та асинхронних потоків; показники для оповіщень, що включають поріг з’єднань шифрування, затримку або довжину черги запитів; метрики в сховищі даних; і показники підключення шифрування. Вузли надсилають матеріал зашифрованого ключа через позасмуговий (окремий від запиту) канал.

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

Запити шифрування від клієнтів, які маршрутизуються службою шифрування
Оновлення програмного забезпечення вузла

Налаштуйте проксі Squid для гібридної безпеки даних

Websocket не вдається підключитися через проксі-сервер Squid

Проксі-сервери Squid, які перевіряють трафік HTTPS, можуть перешкоджати встановленню websocket ( wss:) підключення, які вимагає Hybrid Data Security. У цих розділах наведено інструкції щодо налаштування різних версій Squid для ігнорування wss: трафіку для належної роботи служб.

Кальмари 4 і 5

Додайте on_unsupported_protocol директива до squid.conf.

on_unsupported_protocol tunnel all

Squid 3.5.27

Ми успішно перевірили безпеку гібридних даних, додавши такі правила squid.conf. Ці правила можуть змінюватися в міру розробки функцій і оновлення хмари Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Передмова

Нова та змінена інформація

Дата

Внесені зміни

20 жовтня 2023 року

Оновлена інформація в Вимоги до сервера бази даних .
Додано Налаштуйте резервний центр обробки даних для аварійного відновлення .
Оновлена інформація в Резервний центр обробки даних для аварійного відновлення і Аварійне відновлення за допомогою резервного центру обробки даних .

7 серпня 2023 року

Додано примітку в Завантажте файли встановлення .
Додано примітку в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

23 травня 2023 року

Видалена інформація з Вимоги до сервера бази даних подати запит на ввімкнення функції, звернувшись до команди облікового запису.
Оновлена інформація в Вимоги до зовнішнього підключення і додав Канаду до таблиці хостів CI.
Додано примітку в Очікування щодо розгортання гібридної безпеки даних щодо недоступності механізмів для переміщення ключів назад до хмари.

6 грудня 2022 року

Образи інструмента налаштування HDS тепер розміщено в ciscocitg репозиторій dockerhub.
Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла теми, щоб відобразити зміни в командах.

23 листопада 2022 року

Вузли HDS тепер можуть використовувати автентифікацію Windows для Microsoft SQL Server.

Оновлено Вимоги до сервера бази даних тему з додатковими вимогами для цього режиму автентифікації.

Оновлено Створіть ISO конфігурації для хостів HDS з процедурою налаштування автентифікації Windows на вузлах.
Оновлено Вимоги до сервера бази даних тему з новими мінімальними необхідними версіями (PostgreSQL 10).

13 жовтня 2021 р.

Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

24 червня 2021 року

30 квітня 2021 р.

24 лютого 2021 р.

2 лютого 2021 р.

11 січня 2021 року

Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

13 жовтня 2020 р.

8 жовтня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

14 серпня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

5 серпня 2020 р.

Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

16 червня 2020 р.

Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

4 червня 2020 р.

29 травня 2020 р.

5 травня 2020 р.

Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

21 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

1 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

4 лютого 2020 р Оновлено Вимоги до проксі-сервера .

19 листопада 2019 р.

Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

Підтримка проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі
Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

8 листопада 2019 р.

Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

Відповідно оновлено такі розділи:

Потік завдань розгортання безпеки гібридних даних
Установіть OVA хоста HDS
Налаштуйте віртуальну машину гібридної безпеки даних

6 вересня 2019 р.

Стандартний SQL Server додано до Вимоги до сервера бази даних .

20 серпня 2019 р.

Підтримка проксі-сервера
Вимоги до проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі

6 березня 2019 року

Вимоги та обов’язкові умови переміщено в окремий розділ, Підготуйте своє середовище .
Додано Потік завдань розгортання безпеки гібридних даних огляд у розділі Налаштуйте кластер гібридної безпеки даних .

Зауважено, що поки ви не почнете ознайомлювальну версію (використовуючи інструкції в наступному розділі), ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.
Додано Потік завдань із пробної версії до виробничого у розділі Запустіть ознайомлювальну версію та перейдіть до робочої версії .

28 лютого 2019 року

Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

26 лютого 2019 р.

Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.
Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

24 січня 2019 р.

5 листопада 2018 року

Додано попередній крок для очищення наявних екземплярів Docker hds Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .
Оновлено крок рівня доступу до ключів Створіть ISO конфігурації для хостів HDS щоб відповідати інтерфейсу.

19 жовтня 2018 року

Розділіть інформацію про підключення брандмауера на вимоги до вузла та вимоги комп’ютера до конфігурації ISO Виконайте обов’язкові умови для гібридної безпеки даних .

31 липня 2018 року

Додано порт 22 (доступ SSH) і інформацію про NAT і підключення до брандмауера Виконайте обов’язкові умови для гібридної безпеки даних .

21 травня 2018 р.

Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.
Програма Cisco Spark тепер стала програмою Webex.
Хмара Cisco Collaboraton тепер хмара Webex.

11 квітня 2018 року

Додано Резервний центр обробки даних для аварійного відновлення .
Оновлено Виконайте обов’язкові умови для гібридної безпеки даних щоб указати, що середовище резервного копіювання має бути в іншому центрі обробки даних.
Оновлено Аварійне відновлення за допомогою резервного центру обробки даних .

22 лютого 2018 р.

Додано інформацію про 9-місячний термін дії пароля облікового запису служби та використання інструмента налаштування HDS для скидання паролів облікового запису служби в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

15 лютого 2018 року

У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

18 січня 2018 року

Додано додаток, Трафік між вузлами HDS і хмарою .
Вилучено вирішену проблему з Відомі проблеми безпеки гібридних даних .
index.docker.io змінено на *.docker.io та додано *.cloudfront.net до списку вимог до підключення TCP для вузлів HDS у Виконайте обов’язкові умови для гібридної безпеки даних .
Оновлено Створіть ISO конфігурації для хостів HDS щоб зазначити, що якщо хост бази даних і сервер Syslogd не можна розпізнати DNS на вузлах HDS, їх потрібно налаштувати за допомогою IP-адрес.

2 листопада 2017 року

Уточнена синхронізація каталогів HdsTrialGroup.
Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

18 серпня 2017 року

Вперше опубліковано

Почніть роботу з гібридною безпекою даних

Огляд безпеки гібридних даних

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.
Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.
Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.
Зашифроване повідомлення зберігається в області сховища.

Співпраця з іншими організаціями

Очікування щодо розгортання гібридної безпеки даних

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Захищений центр обробки даних у країні, яка є підтримуване розташування для планів Cisco Webex Teams .
Обладнання, програмне забезпечення та доступ до мережі, описані в Підготуйте своє середовище .

Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.
Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.

Немає механізму переміщення ключів назад до хмари після розгортання HDS.

Процес налаштування високого рівня

У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.
Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.
Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.
Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

Модель розгортання гібридної безпеки даних

Модель розгортання гібридної безпеки даних

Ми підтримуємо лише один кластер на організацію.

Ознайомлювальний режим безпеки гібридних даних

Резервний центр обробки даних для аварійного відновлення

Налаштуйте резервний центр обробки даних для аварійного відновлення

Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

Перш ніж почати

Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)
Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Після налаштування сервера Syslogd клацніть Розширені налаштування


passiveMode: 'true'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Що далі

Підтримка проксі-сервера

Вузли гібридної безпеки даних підтримують такі параметри проксі:

Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.
Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:
1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.
2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.
3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:
  - HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.
  - HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.
4. Тип автентифікації — Виберіть один із таких типів автентифікації:
  - Немає — подальша автентифікація не потрібна.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
  - Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.
  - Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.
    
    Доступно, лише якщо вибрано HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі

Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

Підготуйте своє середовище

Вимоги до гібридної безпеки даних

Вимоги до ліцензії Cisco Webex

Щоб розгорнути гібридну безпеку даних:

Ви повинні мати пакет Pro для Cisco Webex Control Hub. (Дивhttps://www.cisco.com/go/pro-pack .)

Вимоги до Docker Desktop

Вимоги до сертифіката X.509

Ланцюжок сертифікатів має відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних
Вимоги	Відомості
Підписано довіреним центром сертифікації (CA)	За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .
Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних Не є сертифікатом із символом підстановки	CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, `hds.company.com`. CN не повинна містити символ * (підстановка). CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3. Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.
Підпис не SHA1	Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.
Відформатовано як файл PKCS № 12, захищений паролем Використовуйте дружнє ім’я користувача `kms-private-key` щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.	Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL. Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

Вимоги до віртуального хоста

Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних
VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.

Необхідно оновити версію, якщо у вас є попередня версія ESXi.
Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

Вимоги до сервера бази даних

Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 або 16, установлено та запущено.

Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).

Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.
Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.
Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).
Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

Вимоги до зовнішнього підключення

Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

Застосування	Протокол	Порт	Напрямок із програми	Призначення
Вузли гібридної безпеки даних	TCP	443	Вихідні HTTPS і WSS	Сервери Webex: .wbx2.com .ciscospark.com Усі хости Common Identity Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex
Інструмент налаштування HDS	TCP	443	Вихідний HTTPS	*.wbx2.com Усі хости Common Identity hub.docker.com

URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

Регіон	URL-адреси хоста спільних ідентифікаційних даних
Північна та Південна Америки	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Європейський Союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Вимоги до проксі-сервера

Прозорий проксі — Cisco Web Security Appliance (WSA).

Явний проксі — Squid.

Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:
- Немає автентифікації за допомогою HTTP або HTTPS
- Базова автентифікація за допомогою HTTP або HTTPS
- Дайджест автентифікації лише за допомогою HTTPS
Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.
Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.
Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

Виконайте обов’язкові умови для гібридної безпеки даних

Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)
Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:
- ім’я хоста або IP-адресу (хост) і порт
- ім’я бази даних (dbname) для зберігання ключів
- ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

Налаштуйте кластер гібридної безпеки даних

Потік завдань розгортання безпеки гібридних даних

Перш ніж почати

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

Налаштуйте віртуальну машину гібридної безпеки даних

Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.

Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

Завершіть налаштування кластера.

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Завантажте файли встановлення

Увійти вhttps://admin.webex.com , а потім клацніть Служби .

У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.

Створіть ISO конфігурації для хостів HDS

Перш ніж почати

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:
- Облікові дані бази даних
- Оновлення сертифіката
- Зміни політики авторизації
Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Щоб увійти до реєстру Docker-образів, введіть наступне:

docker login -u hdscustomersro

У підказці пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Після завершення витягування введіть відповідну команду для вашого середовища:

У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```

У звичайних середовищах з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У звичайних середовищах з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```

У середовищах FedRAMP з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

У середовищах FedRAMP з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

На сторінці огляду інструмента налаштування клацніть Почати роботу .

На Імпорт ISO на сторінці, у вас є такі параметри:

Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.

Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
Якщо сертифікат відповідає вимогам, клацніть Продовжити .
Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .

Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.
( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :
- Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.
- Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.
Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

Приклад:
dbhost.example.org:1433 або 198.51.100.17:1433

Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433
Введіть Ім’я бази даних .
Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

Виберіть a Режим підключення до бази даних TLS :

Режим

Опис

Віддати перевагу TLS (параметр за замовчуванням)

Вимагати TLS

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

Вимагати TLS і перевіряти підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.
Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

На сторінці системних журналів налаштуйте сервер Syslogd:

Введіть URL-адресу сервера системного журналу.

Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

Приклад:
udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.
З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP
- Нульовий байт -- \x00
- Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.
Клацніть Продовжити.

app_datasource_connection_pool_maxSize: 10

Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

Створіть резервну копію файлу ISO у локальній системі.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.

Що далі

Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

Установіть OVA хоста HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.

Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

Виберіть Файл > Розгорнути шаблон OVF .

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

Запускається перевірка. Після завершення відобразяться відомості про шаблон.

Перевірте відомості шаблону й клацніть Далі .

На Налаштувати шаблон налаштуйте такі параметри мережі:

Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.
Загальна довжина FQDN не повинна перевищувати 64 символи.

IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.

Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

Поради з усунення несправностей

Налаштуйте віртуальну машину гібридної безпеки даних

1.	У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка. ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
2.	Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних: Вхід: `admin` Пароль: `cisco` Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.
3.	Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.
4.	Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
5.	(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі. Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
6.	Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

Вивантажте та підключіть ISO конфігурації HDS

Перш ніж почати

Передайте файл ISO з комп’ютера:

На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.
У списку обладнання на вкладці Конфігурація клацніть Зберігання .
У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .
Клацніть значок Передати файли, а потім клацніть Передати файл .
Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .
Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

Підключіть файл ISO:

На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.
Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.
Перевірте Підключено і Підключіться після ввімкнення .
Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Налаштуйте вузол HDS для інтеграції проксі

Перш ніж почати

Див Підтримка проксі для огляду підтримуваних параметрів проксі.
Вимоги до проксі-сервера

1.	Введіть URL-адресу налаштування вузла HDS `https://[HDS Node IP or FQDN]/setup` у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Сховище довіри та проксі , а потім виберіть параметр: Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно. Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно. Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS). Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію: IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер. Тип автентифікації — Виберіть один із таких типів автентифікації: Немає — подальша автентифікація не потрібна. Доступно для проксі-серверів HTTP або HTTPS. Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64. Доступно для проксі-серверів HTTP або HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу. Доступно лише для проксі-серверів HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.
3.	Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі. Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.
4.	Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі. Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми. Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .
5.	Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.
6.	Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові. Вузол перезавантажиться за кілька хвилин.
7.	Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан. Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

Зареєструйте перший вузол у кластері

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Увійдіть у https://admin.webex.com.
2.	У меню ліворуч на екрані виберіть Служби .
3.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
4.	Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .
5.	У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних. Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"
6.	У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
7.	Клацніть Перейдіть до Node .
8	Клацніть Продовжити у попередженні. Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
9	Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
10	Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створіть і зареєструйте більше вузлів

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .
2.	Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .
3.	На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .
4.	Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.
5.	Зареєструйте вузол. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси . З’явиться сторінка ресурсів безпеки гібридних даних. Клацніть Додати ресурс . У першому полі виберіть ім’я наявного кластера. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex. Клацніть Перейдіть до Node . Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

Що далі

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Запустіть ознайомлювальну версію та перейдіть до робочої версії

Потік завдань із пробної версії до виробничого

Перш ніж почати

1.	Якщо можливо, синхронізуйте `HdsTrialGroup` об’єкт групи. Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати `HdsTrialGroup` груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.
2.	Активувати ознайомлювальну версію Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.
3.	Перевірте розгортання гібридної безпеки даних Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.
4.	Моніторинг працездатності гібридної безпеки даних Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.
5.	Додавання або видалення користувачів із пробної версії
6.	Завершіть ознайомлювальну фазу, виконавши одну з таких дій: Перейдіть із пробної версії до робочої версії Завершіть ознайомлювальну версію, не переходячи на робочу версію

Активувати ознайомлювальну версію

Перш ніж почати

1.	Увійти вhttps://admin.webex.com , а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Стан служби клацніть Почати пробну версію . Стан служби змінюється на ознайомлювальний режим.
4.	Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування. (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, `HdsTrialGroup`.)

Перевірте розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

Перш ніж почати

Налаштуйте розгортання гібридної безпеки даних.
Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.
Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

Надсилайте повідомлення в новий простір.

Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ви повинні знайти такий запис:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Ви повинні знайти такий запис:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ви повинні знайти такий запис:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг працездатності гібридної безпеки даних

1.	У Control Hub , виберіть Служби з меню в лівій частині екрана.
2.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка параметрів безпеки гібридних даних.
3.	У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

Додавання або видалення користувачів із пробної версії

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.
4.	Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

Перейдіть із пробної версії до робочої версії

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Стан служби клацніть Перейти до робочої версії .
4.	Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

Завершіть ознайомлювальну версію, не переходячи на робочу версію

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Деактивувати клацніть Деактивувати .
4.	Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

Керуйте своїм розгортанням HDS

Керуйте розгортанням HDS

Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

Установіть розклад оновлення кластерів

Щоб установити розклад оновлення:

1.	Увійдіть в Control Hub.
2.	На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .
3.	На сторінці Ресурси безпеки гібридних даних виберіть кластер.
4.	На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.
5.	На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення. Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

Змініть конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:

Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.

Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

Створення нової конфігурації для підготовки нового дата-центру.

М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.
Hard Reset- старі паролі негайно перестають працювати.

Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

Перш ніж почати

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Щоб увійти до реєстру Docker-образів, введіть наступне:
```
docker login -u hdscustomersro
```
У підказці пароля введіть цей хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Після завершення витягування введіть відповідну команду для вашого середовища:
- У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```
- У звичайних середовищах з HTTP-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
```
- У звичайних середовищах із HTTPSproxy:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
```
- У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```
- У середовищах FedRAMP з HTTP-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
```
- У середовищах FedRAMP з HTTPS-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
```
Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.

Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.
Імпортуйте поточний файл конфігурації ISO.
Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.
Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

Встановіть HDS хост OVA.
Налаштуйте HDS VM.
Змонтуйте оновлений файл конфігурації.
Зареєструйте новий вузол в Control Hub.

Вимкніть віртуальну машину.
На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Клацніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.
Перевірте підключення при увімкненому живленні.
Збережіть зміни та ввімкніть віртуальну машину.

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

Перш ніж почати

1.	У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Огляд (сторінка за замовчуванням). Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення
3.	Перейдіть до Сховище довіри та проксі сторінка.
4.	Клацніть Перевірте підключення проксі . Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

Що далі

Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Видалити вузол:

Увійдіть у Control Hub, а потім виберіть Служби .
На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.
Виберіть кластер, щоб відобразити панель «Огляд».
Клацніть Відкрити список вузлів .
На вкладці Вузли виберіть вузол, який потрібно видалити.
Клацніть Дії > Скасувати реєстрацію вузла .

Аварійне відновлення за допомогою резервного центру обробки даних

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Після налаштування сервера Syslogd клацніть Розширені налаштування


passiveMode: 'false'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Що далі

(Необов’язково) Відключіть ISO після конфігурації HDS

Перш ніж почати

Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

1.	Вимкніть один із вузлів HDS.
2.	У vCenter Server Appliance виберіть вузол HDS.
3.	Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .
4.	Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.
5.	Повторіть по черзі для кожного вузла HDS.

Усунення проблем гібридної безпеки даних

Перегляд сповіщень і усунення несправностей

Неможливо створити нові простори (неможливо створити нові ключі)
Не вдалося розшифрувати повідомлення та назви просторів для:
- До простору додано нових користувачів (не вдається отримати ключі)
- Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)
Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

Сповіщення

Таблиця 1. Загальні проблеми та кроки до їх вирішення
Оповіщення	Дія
Помилка доступу до локальної бази даних.	Перевірте помилки бази даних або проблеми з локальною мережею.
Помилка підключення до локальної бази даних.	Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.
Помилка доступу до хмарної служби.	Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .
Поновлення реєстрації хмарної служби.	Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.
Реєстрацію хмарної служби зупинено.	Реєстрацію в хмарних службах припинено. Служба завершується.
Службу ще не активовано.	Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.
Налаштований домен не відповідає сертифікату сервера.	Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби. Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.
Не вдалося автентифікуватися в хмарних службах.	Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.
Не вдалося відкрити файл локального сховища ключів.	Перевірте цілісність і точність пароля у файлі локального сховища ключів.
Сертифікат локального сервера неприпустимий.	Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.
Не вдалося опублікувати показники.	Перевірте доступ локальної мережі до зовнішніх хмарних служб.
/media/configdrive/hds не існує.	Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

Усунення проблем гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.

1.	Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.
2.	Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.
3.	Контакт Підтримка Cisco .

Інші примітки

Відомі проблеми безпеки гібридних даних

Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.
Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

Використовуйте OpenSSL для створення файлу PKCS12

Перш ніж почати

OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.
Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.
Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.
Створіть закритий ключ.
Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

1.	Отримавши сертифікат сервера від CA, збережіть його як `hdsnode.pem`.
2.	Відобразіть сертифікат у вигляді тексту та перевірте відомості. `openssl x509 -text -noout -in hdsnode.pem`
3.	Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою `hdsnode-bundle.pem`. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Створіть файл .p12 зі зручним іменем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5.	Перевірте відомості про сертифікат сервера. `openssl pkcs12 -in hdsnode.p12` Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки `friendlyName: kms-private-key`. Приклад: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Що далі

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

Запити шифрування від клієнтів, які маршрутизуються службою шифрування
Оновлення програмного забезпечення вузла

Налаштуйте проксі Squid для гібридної безпеки даних

Websocket не вдається підключитися через проксі-сервер Squid

Кальмари 4 і 5

Додайте on_unsupported_protocol директива до squid.conf.

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Передмова

Нова та змінена інформація

Дата

Внесені зміни

20 жовтня 2023 року

Оновлена інформація в Вимоги до сервера бази даних .
Додано Налаштуйте резервний центр обробки даних для аварійного відновлення .
Оновлена інформація в Резервний центр обробки даних для аварійного відновлення і Аварійне відновлення за допомогою резервного центру обробки даних .

7 серпня 2023 року

Додано примітку в Завантажте файли встановлення .
Додано примітку в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

23 травня 2023 року

Видалена інформація з Вимоги до сервера бази даних подати запит на ввімкнення функції, звернувшись до команди облікового запису.
Оновлена інформація в Вимоги до зовнішнього підключення і додав Канаду до таблиці хостів CI.
Додано примітку в Очікування щодо розгортання гібридної безпеки даних щодо недоступності механізмів для переміщення ключів назад до хмари.

6 грудня 2022 року

Образи інструмента налаштування HDS тепер розміщено в ciscocitg репозиторій dockerhub.
Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла теми, щоб відобразити зміни в командах.

23 листопада 2022 року

Вузли HDS тепер можуть використовувати автентифікацію Windows для Microsoft SQL Server.

Оновлено Вимоги до сервера бази даних тему з додатковими вимогами для цього режиму автентифікації.

Оновлено Створіть ISO конфігурації для хостів HDS з процедурою налаштування автентифікації Windows на вузлах.
Оновлено Вимоги до сервера бази даних тему з новими мінімальними необхідними версіями (PostgreSQL 10).

13 жовтня 2021 р.

Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

24 червня 2021 року

30 квітня 2021 р.

24 лютого 2021 р.

2 лютого 2021 р.

11 січня 2021 року

Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

13 жовтня 2020 р.

8 жовтня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

14 серпня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

5 серпня 2020 р.

Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

16 червня 2020 р.

Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

4 червня 2020 р.

29 травня 2020 р.

5 травня 2020 р.

Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

21 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

1 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

4 лютого 2020 р Оновлено Вимоги до проксі-сервера .

19 листопада 2019 р.

Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

Підтримка проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі
Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

8 листопада 2019 р.

Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

Відповідно оновлено такі розділи:

Потік завдань розгортання безпеки гібридних даних
Установіть OVA хоста HDS
Налаштуйте віртуальну машину гібридної безпеки даних

6 вересня 2019 р.

Стандартний SQL Server додано до Вимоги до сервера бази даних .

20 серпня 2019 р.

Підтримка проксі-сервера
Вимоги до проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі

6 березня 2019 року

Вимоги та обов’язкові умови переміщено в окремий розділ, Підготуйте своє середовище .
Додано Потік завдань розгортання безпеки гібридних даних огляд у розділі Налаштуйте кластер гібридної безпеки даних .

Зауважено, що поки ви не почнете ознайомлювальну версію (використовуючи інструкції в наступному розділі), ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.
Додано Потік завдань із пробної версії до виробничого у розділі Запустіть ознайомлювальну версію та перейдіть до робочої версії .

28 лютого 2019 року

Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

26 лютого 2019 р.

Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.
Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

24 січня 2019 р.

5 листопада 2018 року

Додано попередній крок для очищення наявних екземплярів Docker hds Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .
Оновлено крок рівня доступу до ключів Створіть ISO конфігурації для хостів HDS щоб відповідати інтерфейсу.

19 жовтня 2018 року

Розділіть інформацію про підключення брандмауера на вимоги до вузла та вимоги комп’ютера до конфігурації ISO Виконайте обов’язкові умови для гібридної безпеки даних .

31 липня 2018 року

Додано порт 22 (доступ SSH) і інформацію про NAT і підключення до брандмауера Виконайте обов’язкові умови для гібридної безпеки даних .

21 травня 2018 р.

Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.
Програма Cisco Spark тепер стала програмою Webex.
Хмара Cisco Collaboraton тепер хмара Webex.

11 квітня 2018 року

Додано Резервний центр обробки даних для аварійного відновлення .
Оновлено Виконайте обов’язкові умови для гібридної безпеки даних щоб указати, що середовище резервного копіювання має бути в іншому центрі обробки даних.
Оновлено Аварійне відновлення за допомогою резервного центру обробки даних .

22 лютого 2018 р.

Додано інформацію про 9-місячний термін дії пароля облікового запису служби та використання інструмента налаштування HDS для скидання паролів облікового запису служби в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

15 лютого 2018 року

У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

18 січня 2018 року

Додано додаток, Трафік між вузлами HDS і хмарою .
Вилучено вирішену проблему з Відомі проблеми безпеки гібридних даних .
index.docker.io змінено на *.docker.io та додано *.cloudfront.net до списку вимог до підключення TCP для вузлів HDS у Виконайте обов’язкові умови для гібридної безпеки даних .
Оновлено Створіть ISO конфігурації для хостів HDS щоб зазначити, що якщо хост бази даних і сервер Syslogd не можна розпізнати DNS на вузлах HDS, їх потрібно налаштувати за допомогою IP-адрес.

2 листопада 2017 року

Уточнена синхронізація каталогів HdsTrialGroup.
Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

18 серпня 2017 року

Вперше опубліковано

Почніть роботу з гібридною безпекою даних

Огляд безпеки гібридних даних

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.
Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.
Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.
Зашифроване повідомлення зберігається в області сховища.

Співпраця з іншими організаціями

Очікування щодо розгортання гібридної безпеки даних

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Захищений центр обробки даних у країні, яка є підтримуване розташування для планів Cisco Webex Teams .
Обладнання, програмне забезпечення та доступ до мережі, описані в Підготуйте своє середовище .

Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.
Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.

Немає механізму переміщення ключів назад до хмари після розгортання HDS.

Процес налаштування високого рівня

У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.
Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.
Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.
Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

Модель розгортання гібридної безпеки даних

Модель розгортання гібридної безпеки даних

Ми підтримуємо лише один кластер на організацію.

Ознайомлювальний режим безпеки гібридних даних

Резервний центр обробки даних для аварійного відновлення

Налаштуйте резервний центр обробки даних для аварійного відновлення

Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

Перш ніж почати

Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)
Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Після налаштування сервера Syslogd клацніть Розширені налаштування


passiveMode: 'true'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Що далі

Підтримка проксі-сервера

Вузли гібридної безпеки даних підтримують такі параметри проксі:

Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.
Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:
1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.
2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.
3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:
  - HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.
  - HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.
4. Тип автентифікації — Виберіть один із таких типів автентифікації:
  - Немає — подальша автентифікація не потрібна.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
  - Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.
  - Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.
    
    Доступно, лише якщо вибрано HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі

Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

Підготуйте своє середовище

Вимоги до гібридної безпеки даних

Вимоги до ліцензії Cisco Webex

Щоб розгорнути гібридну безпеку даних:

Ви повинні мати пакет Pro для Cisco Webex Control Hub. (Дивhttps://www.cisco.com/go/pro-pack .)

Вимоги до Docker Desktop

Вимоги до сертифіката X.509

Ланцюжок сертифікатів має відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних
Вимоги	Відомості
Підписано довіреним центром сертифікації (CA)	За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .
Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних Не є сертифікатом із символом підстановки	CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, `hds.company.com`. CN не повинна містити символ * (підстановка). CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3. Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.
Підпис не SHA1	Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.
Відформатовано як файл PKCS № 12, захищений паролем Використовуйте дружнє ім’я користувача `kms-private-key` щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.	Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL. Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

Вимоги до віртуального хоста

Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних
VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.

Необхідно оновити версію, якщо у вас є попередня версія ESXi.
Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

Вимоги до сервера бази даних

Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 або 16, установлено та запущено.

Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).

Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.
Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.
Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).
Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

Вимоги до зовнішнього підключення

Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

Застосування	Протокол	Порт	Напрямок із програми	Призначення
Вузли гібридної безпеки даних	TCP	443	Вихідні HTTPS і WSS	Сервери Webex: .wbx2.com .ciscospark.com Усі хости Common Identity Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex
Інструмент налаштування HDS	TCP	443	Вихідний HTTPS	*.wbx2.com Усі хости Common Identity hub.docker.com

URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

Регіон	URL-адреси хоста спільних ідентифікаційних даних
Північна та Південна Америки	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Європейський Союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Вимоги до проксі-сервера

Прозорий проксі — Cisco Web Security Appliance (WSA).

Явний проксі — Squid.

Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:
- Немає автентифікації за допомогою HTTP або HTTPS
- Базова автентифікація за допомогою HTTP або HTTPS
- Дайджест автентифікації лише за допомогою HTTPS
Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.
Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.
Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

Виконайте обов’язкові умови для гібридної безпеки даних

Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)
Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:
- ім’я хоста або IP-адресу (хост) і порт
- ім’я бази даних (dbname) для зберігання ключів
- ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

Налаштуйте кластер гібридної безпеки даних

Потік завдань розгортання безпеки гібридних даних

Перш ніж почати

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

Налаштуйте віртуальну машину гібридної безпеки даних

Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.

Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

Завершіть налаштування кластера.

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Завантажте файли встановлення

Увійти вhttps://admin.webex.com , а потім клацніть Служби .

У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.

Створіть ISO конфігурації для хостів HDS

Перш ніж почати

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:
- Облікові дані бази даних
- Оновлення сертифіката
- Зміни політики авторизації
Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Щоб увійти до реєстру Docker-образів, введіть наступне:

docker login -u hdscustomersro

У підказці пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Після завершення витягування введіть відповідну команду для вашого середовища:

У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```

У звичайних середовищах з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У звичайних середовищах з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```

У середовищах FedRAMP з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

У середовищах FedRAMP з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

На сторінці огляду інструмента налаштування клацніть Почати роботу .

На Імпорт ISO на сторінці, у вас є такі параметри:

Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.

Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
Якщо сертифікат відповідає вимогам, клацніть Продовжити .
Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .

Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.
( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :
- Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.
- Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.
Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

Приклад:
dbhost.example.org:1433 або 198.51.100.17:1433

Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433
Введіть Ім’я бази даних .
Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

Виберіть a Режим підключення до бази даних TLS :

Режим

Опис

Віддати перевагу TLS (параметр за замовчуванням)

Вимагати TLS

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

Вимагати TLS і перевіряти підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.
Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

На сторінці системних журналів налаштуйте сервер Syslogd:

Введіть URL-адресу сервера системного журналу.

Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

Приклад:
udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.
З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP
- Нульовий байт -- \x00
- Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.
Клацніть Продовжити.

app_datasource_connection_pool_maxSize: 10

Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

Створіть резервну копію файлу ISO у локальній системі.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.

Що далі

Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

Установіть OVA хоста HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.

Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

Виберіть Файл > Розгорнути шаблон OVF .

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

Запускається перевірка. Після завершення відобразяться відомості про шаблон.

Перевірте відомості шаблону й клацніть Далі .

На Налаштувати шаблон налаштуйте такі параметри мережі:

Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.
Загальна довжина FQDN не повинна перевищувати 64 символи.

IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.

Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

Поради з усунення несправностей

Налаштуйте віртуальну машину гібридної безпеки даних

1.	У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка. ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
2.	Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних: Вхід: `admin` Пароль: `cisco` Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.
3.	Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.
4.	Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
5.	(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі. Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
6.	Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

Вивантажте та підключіть ISO конфігурації HDS

Перш ніж почати

Передайте файл ISO з комп’ютера:

На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.
У списку обладнання на вкладці Конфігурація клацніть Зберігання .
У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .
Клацніть значок Передати файли, а потім клацніть Передати файл .
Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .
Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

Підключіть файл ISO:

На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.
Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.
Перевірте Підключено і Підключіться після ввімкнення .
Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Налаштуйте вузол HDS для інтеграції проксі

Перш ніж почати

Див Підтримка проксі для огляду підтримуваних параметрів проксі.
Вимоги до проксі-сервера

1.	Введіть URL-адресу налаштування вузла HDS `https://[HDS Node IP or FQDN]/setup` у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Сховище довіри та проксі , а потім виберіть параметр: Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно. Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно. Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS). Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію: IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер. Тип автентифікації — Виберіть один із таких типів автентифікації: Немає — подальша автентифікація не потрібна. Доступно для проксі-серверів HTTP або HTTPS. Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64. Доступно для проксі-серверів HTTP або HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу. Доступно лише для проксі-серверів HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.
3.	Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі. Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.
4.	Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі. Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми. Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .
5.	Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.
6.	Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові. Вузол перезавантажиться за кілька хвилин.
7.	Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан. Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

Зареєструйте перший вузол у кластері

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Увійдіть у https://admin.webex.com.
2.	У меню ліворуч на екрані виберіть Служби .
3.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
4.	Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .
5.	У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних. Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"
6.	У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
7.	Клацніть Перейдіть до Node .
8	Клацніть Продовжити у попередженні. Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
9	Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
10	Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створіть і зареєструйте більше вузлів

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .
2.	Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .
3.	На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .
4.	Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.
5.	Зареєструйте вузол. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси . З’явиться сторінка ресурсів безпеки гібридних даних. Клацніть Додати ресурс . У першому полі виберіть ім’я наявного кластера. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex. Клацніть Перейдіть до Node . Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

Що далі

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Запустіть ознайомлювальну версію та перейдіть до робочої версії

Потік завдань із пробної версії до виробничого

Перш ніж почати

1.	Якщо можливо, синхронізуйте `HdsTrialGroup` об’єкт групи. Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати `HdsTrialGroup` груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.
2.	Активувати ознайомлювальну версію Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.
3.	Перевірте розгортання гібридної безпеки даних Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.
4.	Моніторинг працездатності гібридної безпеки даних Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.
5.	Додавання або видалення користувачів із пробної версії
6.	Завершіть ознайомлювальну фазу, виконавши одну з таких дій: Перейдіть із пробної версії до робочої версії Завершіть ознайомлювальну версію, не переходячи на робочу версію

Активувати ознайомлювальну версію

Перш ніж почати

1.	Увійти вhttps://admin.webex.com , а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Стан служби клацніть Почати пробну версію . Стан служби змінюється на ознайомлювальний режим.
4.	Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування. (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, `HdsTrialGroup`.)

Перевірте розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

Перш ніж почати

Налаштуйте розгортання гібридної безпеки даних.
Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.
Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

Надсилайте повідомлення в новий простір.

Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ви повинні знайти такий запис:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Ви повинні знайти такий запис:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ви повинні знайти такий запис:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг працездатності гібридної безпеки даних

1.	У Control Hub , виберіть Служби з меню в лівій частині екрана.
2.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка параметрів безпеки гібридних даних.
3.	У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

Додавання або видалення користувачів із пробної версії

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.
4.	Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

Перейдіть із пробної версії до робочої версії

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Стан служби клацніть Перейти до робочої версії .
4.	Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

Завершіть ознайомлювальну версію, не переходячи на робочу версію

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Деактивувати клацніть Деактивувати .
4.	Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

Керуйте своїм розгортанням HDS

Керуйте розгортанням HDS

Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

Установіть розклад оновлення кластерів

Щоб установити розклад оновлення:

1.	Увійдіть в Control Hub.
2.	На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .
3.	На сторінці Ресурси безпеки гібридних даних виберіть кластер.
4.	На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.
5.	На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення. Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

Змініть конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:

Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.

Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

Створення нової конфігурації для підготовки нового дата-центру.

М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.
Hard Reset- старі паролі негайно перестають працювати.

Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

Перш ніж почати

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Щоб увійти до реєстру Docker-образів, введіть наступне:
```
docker login -u hdscustomersro
```
У підказці пароля введіть цей хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Після завершення витягування введіть відповідну команду для вашого середовища:
- У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```
- У звичайних середовищах з HTTP-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
```
- У звичайних середовищах із HTTPSproxy:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
```
- У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```
- У середовищах FedRAMP з HTTP-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
```
- У середовищах FedRAMP з HTTPS-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
```
Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.

Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.
Імпортуйте поточний файл конфігурації ISO.
Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.
Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

Встановіть HDS хост OVA.
Налаштуйте HDS VM.
Змонтуйте оновлений файл конфігурації.
Зареєструйте новий вузол в Control Hub.

Вимкніть віртуальну машину.
На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Клацніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.
Перевірте підключення при увімкненому живленні.
Збережіть зміни та ввімкніть віртуальну машину.

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

Перш ніж почати

1.	У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Огляд (сторінка за замовчуванням). Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення
3.	Перейдіть до Сховище довіри та проксі сторінка.
4.	Клацніть Перевірте підключення проксі . Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

Що далі

Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Видалити вузол:

Увійдіть у Control Hub, а потім виберіть Служби .
На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.
Виберіть кластер, щоб відобразити панель «Огляд».
Клацніть Відкрити список вузлів .
На вкладці Вузли виберіть вузол, який потрібно видалити.
Клацніть Дії > Скасувати реєстрацію вузла .

Аварійне відновлення за допомогою резервного центру обробки даних

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Після налаштування сервера Syslogd клацніть Розширені налаштування


passiveMode: 'false'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Що далі

(Необов’язково) Відключіть ISO після конфігурації HDS

Перш ніж почати

Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

1.	Вимкніть один із вузлів HDS.
2.	У vCenter Server Appliance виберіть вузол HDS.
3.	Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .
4.	Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.
5.	Повторіть по черзі для кожного вузла HDS.

Усунення проблем гібридної безпеки даних

Перегляд сповіщень і усунення несправностей

Неможливо створити нові простори (неможливо створити нові ключі)
Не вдалося розшифрувати повідомлення та назви просторів для:
- До простору додано нових користувачів (не вдається отримати ключі)
- Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)
Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

Сповіщення

Таблиця 1. Загальні проблеми та кроки до їх вирішення
Оповіщення	Дія
Помилка доступу до локальної бази даних.	Перевірте помилки бази даних або проблеми з локальною мережею.
Помилка підключення до локальної бази даних.	Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.
Помилка доступу до хмарної служби.	Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .
Поновлення реєстрації хмарної служби.	Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.
Реєстрацію хмарної служби зупинено.	Реєстрацію в хмарних службах припинено. Служба завершується.
Службу ще не активовано.	Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.
Налаштований домен не відповідає сертифікату сервера.	Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби. Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.
Не вдалося автентифікуватися в хмарних службах.	Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.
Не вдалося відкрити файл локального сховища ключів.	Перевірте цілісність і точність пароля у файлі локального сховища ключів.
Сертифікат локального сервера неприпустимий.	Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.
Не вдалося опублікувати показники.	Перевірте доступ локальної мережі до зовнішніх хмарних служб.
/media/configdrive/hds не існує.	Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

Усунення проблем гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.

1.	Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.
2.	Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.
3.	Контакт Підтримка Cisco .

Інші примітки

Відомі проблеми безпеки гібридних даних

Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.
Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

Використовуйте OpenSSL для створення файлу PKCS12

Перш ніж почати

OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.
Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.
Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.
Створіть закритий ключ.
Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

1.	Отримавши сертифікат сервера від CA, збережіть його як `hdsnode.pem`.
2.	Відобразіть сертифікат у вигляді тексту та перевірте відомості. `openssl x509 -text -noout -in hdsnode.pem`
3.	Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою `hdsnode-bundle.pem`. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Створіть файл .p12 зі зручним іменем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5.	Перевірте відомості про сертифікат сервера. `openssl pkcs12 -in hdsnode.p12` Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки `friendlyName: kms-private-key`. Приклад: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Що далі

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

Запити шифрування від клієнтів, які маршрутизуються службою шифрування
Оновлення програмного забезпечення вузла

Налаштуйте проксі Squid для гібридної безпеки даних

Websocket не вдається підключитися через проксі-сервер Squid

Кальмари 4 і 5

Додайте on_unsupported_protocol директива до squid.conf.

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Передмова

Нова та змінена інформація

Дата

Внесені зміни

20 жовтня 2023 року

Оновлена інформація в Вимоги до сервера бази даних .
Додано Налаштуйте резервний центр обробки даних для аварійного відновлення .
Оновлена інформація в Резервний центр обробки даних для аварійного відновлення і Аварійне відновлення за допомогою резервного центру обробки даних .

7 серпня 2023 року

Додано примітку в Завантажте файли встановлення .
Додано примітку в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

23 травня 2023 року

Видалена інформація з Вимоги до сервера бази даних подати запит на ввімкнення функції, звернувшись до команди облікового запису.
Оновлена інформація в Вимоги до зовнішнього підключення і додав Канаду до таблиці хостів CI.
Додано примітку в Очікування щодо розгортання гібридної безпеки даних щодо недоступності механізмів для переміщення ключів назад до хмари.

6 грудня 2022 року

Образи інструмента налаштування HDS тепер розміщено в ciscocitg репозиторій dockerhub.
Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла теми, щоб відобразити зміни в командах.

23 листопада 2022 року

Вузли HDS тепер можуть використовувати автентифікацію Windows для Microsoft SQL Server.

Оновлено Вимоги до сервера бази даних тему з додатковими вимогами для цього режиму автентифікації.

Оновлено Створіть ISO конфігурації для хостів HDS з процедурою налаштування автентифікації Windows на вузлах.
Оновлено Вимоги до сервера бази даних тему з новими мінімальними необхідними версіями (PostgreSQL 10).

13 жовтня 2021 р.

Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

24 червня 2021 року

30 квітня 2021 р.

24 лютого 2021 р.

2 лютого 2021 р.

11 січня 2021 року

Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

13 жовтня 2020 р.

8 жовтня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

14 серпня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

5 серпня 2020 р.

Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

16 червня 2020 р.

Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

4 червня 2020 р.

29 травня 2020 р.

5 травня 2020 р.

Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

21 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

1 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

4 лютого 2020 р Оновлено Вимоги до проксі-сервера .

19 листопада 2019 р.

Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

Підтримка проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі
Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

8 листопада 2019 р.

Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

Відповідно оновлено такі розділи:

Потік завдань розгортання безпеки гібридних даних
Установіть OVA хоста HDS
Налаштуйте віртуальну машину гібридної безпеки даних

6 вересня 2019 р.

Стандартний SQL Server додано до Вимоги до сервера бази даних .

20 серпня 2019 р.

Підтримка проксі-сервера
Вимоги до проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі

6 березня 2019 року

Вимоги та обов’язкові умови переміщено в окремий розділ, Підготуйте своє середовище .
Додано Потік завдань розгортання безпеки гібридних даних огляд у розділі Налаштуйте кластер гібридної безпеки даних .

Зауважено, що поки ви не почнете ознайомлювальну версію (використовуючи інструкції в наступному розділі), ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.
Додано Потік завдань із пробної версії до виробничого у розділі Запустіть ознайомлювальну версію та перейдіть до робочої версії .

28 лютого 2019 року

Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

26 лютого 2019 р.

Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.
Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

24 січня 2019 р.

5 листопада 2018 року

Додано попередній крок для очищення наявних екземплярів Docker hds Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .
Оновлено крок рівня доступу до ключів Створіть ISO конфігурації для хостів HDS щоб відповідати інтерфейсу.

19 жовтня 2018 року

Розділіть інформацію про підключення брандмауера на вимоги до вузла та вимоги комп’ютера до конфігурації ISO Виконайте обов’язкові умови для гібридної безпеки даних .

31 липня 2018 року

Додано порт 22 (доступ SSH) і інформацію про NAT і підключення до брандмауера Виконайте обов’язкові умови для гібридної безпеки даних .

21 травня 2018 р.

Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.
Програма Cisco Spark тепер стала програмою Webex.
Хмара Cisco Collaboraton тепер хмара Webex.

11 квітня 2018 року

Додано Резервний центр обробки даних для аварійного відновлення .
Оновлено Виконайте обов’язкові умови для гібридної безпеки даних щоб указати, що середовище резервного копіювання має бути в іншому центрі обробки даних.
Оновлено Аварійне відновлення за допомогою резервного центру обробки даних .

22 лютого 2018 р.

Додано інформацію про 9-місячний термін дії пароля облікового запису служби та використання інструмента налаштування HDS для скидання паролів облікового запису служби в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

15 лютого 2018 року

У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

18 січня 2018 року

Додано додаток, Трафік між вузлами HDS і хмарою .
Вилучено вирішену проблему з Відомі проблеми безпеки гібридних даних .
index.docker.io змінено на *.docker.io та додано *.cloudfront.net до списку вимог до підключення TCP для вузлів HDS у Виконайте обов’язкові умови для гібридної безпеки даних .
Оновлено Створіть ISO конфігурації для хостів HDS щоб зазначити, що якщо хост бази даних і сервер Syslogd не можна розпізнати DNS на вузлах HDS, їх потрібно налаштувати за допомогою IP-адрес.

2 листопада 2017 року

Уточнена синхронізація каталогів HdsTrialGroup.
Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

18 серпня 2017 року

Вперше опубліковано

Почніть роботу з гібридною безпекою даних

Огляд безпеки гібридних даних

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.
Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.
Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.
Зашифроване повідомлення зберігається в області сховища.

Співпраця з іншими організаціями

Очікування щодо розгортання гібридної безпеки даних

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Захищений центр обробки даних у країні, яка є підтримуване розташування для планів Cisco Webex Teams .
Обладнання, програмне забезпечення та доступ до мережі, описані в Підготуйте своє середовище .

Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.
Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.

Немає механізму переміщення ключів назад до хмари після розгортання HDS.

Процес налаштування високого рівня

У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.
Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.
Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.
Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

Модель розгортання гібридної безпеки даних

Модель розгортання гібридної безпеки даних

Ми підтримуємо лише один кластер на організацію.

Ознайомлювальний режим безпеки гібридних даних

Резервний центр обробки даних для аварійного відновлення

Налаштуйте резервний центр обробки даних для аварійного відновлення

Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

Перш ніж почати

Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)
Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Після налаштування сервера Syslogd клацніть Розширені налаштування


passiveMode: 'true'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Що далі

Підтримка проксі-сервера

Вузли гібридної безпеки даних підтримують такі параметри проксі:

Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.
Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:
1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.
2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.
3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:
  - HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.
  - HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.
4. Тип автентифікації — Виберіть один із таких типів автентифікації:
  - Немає — подальша автентифікація не потрібна.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
  - Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.
  - Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.
    
    Доступно, лише якщо вибрано HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі

Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

Підготуйте своє середовище

Вимоги до гібридної безпеки даних

Вимоги до ліцензії Cisco Webex

Щоб розгорнути гібридну безпеку даних:

Ви повинні мати пакет Pro для Cisco Webex Control Hub. (Дивhttps://www.cisco.com/go/pro-pack .)

Вимоги до Docker Desktop

Вимоги до сертифіката X.509

Ланцюжок сертифікатів має відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних
Вимоги	Відомості
Підписано довіреним центром сертифікації (CA)	За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .
Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних Не є сертифікатом із символом підстановки	CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, `hds.company.com`. CN не повинна містити символ * (підстановка). CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3. Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.
Підпис не SHA1	Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.
Відформатовано як файл PKCS № 12, захищений паролем Використовуйте дружнє ім’я користувача `kms-private-key` щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.	Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL. Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

Вимоги до віртуального хоста

Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних
VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.

Необхідно оновити версію, якщо у вас є попередня версія ESXi.
Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

Вимоги до сервера бази даних

Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 або 16, установлено та запущено.

Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).

Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.
Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.
Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).
Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

Вимоги до зовнішнього підключення

Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

Застосування	Протокол	Порт	Напрямок із програми	Призначення
Вузли гібридної безпеки даних	TCP	443	Вихідні HTTPS і WSS	Сервери Webex: .wbx2.com .ciscospark.com Усі хости Common Identity Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex
Інструмент налаштування HDS	TCP	443	Вихідний HTTPS	*.wbx2.com Усі хости Common Identity hub.docker.com

URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

Регіон	URL-адреси хоста спільних ідентифікаційних даних
Північна та Південна Америки	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Європейський Союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Вимоги до проксі-сервера

Прозорий проксі — Cisco Web Security Appliance (WSA).

Явний проксі — Squid.

Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:
- Немає автентифікації за допомогою HTTP або HTTPS
- Базова автентифікація за допомогою HTTP або HTTPS
- Дайджест автентифікації лише за допомогою HTTPS
Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.
Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.
Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

Виконайте обов’язкові умови для гібридної безпеки даних

Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)
Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:
- ім’я хоста або IP-адресу (хост) і порт
- ім’я бази даних (dbname) для зберігання ключів
- ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

Налаштуйте кластер гібридної безпеки даних

Потік завдань розгортання безпеки гібридних даних

Перш ніж почати

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

Налаштуйте віртуальну машину гібридної безпеки даних

Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.

Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

Завершіть налаштування кластера.

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Завантажте файли встановлення

Увійти вhttps://admin.webex.com , а потім клацніть Служби .

У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.

Створіть ISO конфігурації для хостів HDS

Перш ніж почати

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:
- Облікові дані бази даних
- Оновлення сертифіката
- Зміни політики авторизації
Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Щоб увійти до реєстру Docker-образів, введіть наступне:

docker login -u hdscustomersro

У підказці пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Після завершення витягування введіть відповідну команду для вашого середовища:

У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```

У звичайних середовищах з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У звичайних середовищах з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```

У середовищах FedRAMP з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

У середовищах FedRAMP з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

На сторінці огляду інструмента налаштування клацніть Почати роботу .

На Імпорт ISO на сторінці, у вас є такі параметри:

Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.

Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
Якщо сертифікат відповідає вимогам, клацніть Продовжити .
Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .

Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.
( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :
- Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.
- Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.
Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

Приклад:
dbhost.example.org:1433 або 198.51.100.17:1433

Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433
Введіть Ім’я бази даних .
Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

Виберіть a Режим підключення до бази даних TLS :

Режим

Опис

Віддати перевагу TLS (параметр за замовчуванням)

Вимагати TLS

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

Вимагати TLS і перевіряти підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.
Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

На сторінці системних журналів налаштуйте сервер Syslogd:

Введіть URL-адресу сервера системного журналу.

Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

Приклад:
udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.
З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP
- Нульовий байт -- \x00
- Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.
Клацніть Продовжити.

app_datasource_connection_pool_maxSize: 10

Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

Створіть резервну копію файлу ISO у локальній системі.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.

Що далі

Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

Установіть OVA хоста HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.

Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

Виберіть Файл > Розгорнути шаблон OVF .

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

Запускається перевірка. Після завершення відобразяться відомості про шаблон.

Перевірте відомості шаблону й клацніть Далі .

На Налаштувати шаблон налаштуйте такі параметри мережі:

Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.
Загальна довжина FQDN не повинна перевищувати 64 символи.

IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.

Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

Поради з усунення несправностей

Налаштуйте віртуальну машину гібридної безпеки даних

1.	У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка. ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
2.	Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних: Вхід: `admin` Пароль: `cisco` Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.
3.	Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.
4.	Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
5.	(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі. Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
6.	Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

Вивантажте та підключіть ISO конфігурації HDS

Перш ніж почати

Передайте файл ISO з комп’ютера:

На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.
У списку обладнання на вкладці Конфігурація клацніть Зберігання .
У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .
Клацніть значок Передати файли, а потім клацніть Передати файл .
Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .
Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

Підключіть файл ISO:

На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.
Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.
Перевірте Підключено і Підключіться після ввімкнення .
Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Налаштуйте вузол HDS для інтеграції проксі

Перш ніж почати

Див Підтримка проксі для огляду підтримуваних параметрів проксі.
Вимоги до проксі-сервера

1.	Введіть URL-адресу налаштування вузла HDS `https://[HDS Node IP or FQDN]/setup` у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Сховище довіри та проксі , а потім виберіть параметр: Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно. Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно. Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS). Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію: IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер. Тип автентифікації — Виберіть один із таких типів автентифікації: Немає — подальша автентифікація не потрібна. Доступно для проксі-серверів HTTP або HTTPS. Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64. Доступно для проксі-серверів HTTP або HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу. Доступно лише для проксі-серверів HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.
3.	Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі. Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.
4.	Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі. Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми. Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .
5.	Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.
6.	Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові. Вузол перезавантажиться за кілька хвилин.
7.	Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан. Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

Зареєструйте перший вузол у кластері

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Увійдіть у https://admin.webex.com.
2.	У меню ліворуч на екрані виберіть Служби .
3.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
4.	Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .
5.	У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних. Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"
6.	У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
7.	Клацніть Перейдіть до Node .
8	Клацніть Продовжити у попередженні. Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
9	Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
10	Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створіть і зареєструйте більше вузлів

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .
2.	Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .
3.	На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .
4.	Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.
5.	Зареєструйте вузол. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси . З’явиться сторінка ресурсів безпеки гібридних даних. Клацніть Додати ресурс . У першому полі виберіть ім’я наявного кластера. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex. Клацніть Перейдіть до Node . Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

Що далі

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Запустіть ознайомлювальну версію та перейдіть до робочої версії

Потік завдань із пробної версії до виробничого

Перш ніж почати

1.	Якщо можливо, синхронізуйте `HdsTrialGroup` об’єкт групи. Якщо ваша організація використовує синхронізацію каталогу для користувачів, потрібно вибрати `HdsTrialGroup` груповий об’єкт для синхронізації з хмарою, перш ніж ви зможете почати ознайомлювальну версію. Інструкції див Посібник із розгортання для Cisco Directory Connector.
2.	Активувати ознайомлювальну версію Почніть пробну версію. Поки ви не виконаєте це завдання, ваші вузли створять попередження, що вказує на те, що служба ще не активована.
3.	Перевірте розгортання гібридної безпеки даних Перевірте, чи передаються запити на ключ до розгортання гібридної безпеки даних.
4.	Моніторинг працездатності гібридної безпеки даних Перевірте стан і налаштуйте сповіщення електронною поштою для попереджень.
5.	Додавання або видалення користувачів із пробної версії
6.	Завершіть ознайомлювальну фазу, виконавши одну з таких дій: Перейдіть із пробної версії до робочої версії Завершіть ознайомлювальну версію, не переходячи на робочу версію

Активувати ознайомлювальну версію

Перш ніж почати

1.	Увійти вhttps://admin.webex.com , а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Стан служби клацніть Почати пробну версію . Стан служби змінюється на ознайомлювальний режим.
4.	Клацніть Додати користувачів і введіть адресу електронної пошти одного або кількох користувачів, які будуть використовувати ваші вузли гібридної безпеки даних для служб шифрування та індексування. (Якщо ваша організація використовує синхронізацію каталогів, використовуйте Active Directory для керування ознайомлювальною групою, `HdsTrialGroup`.)

Перевірте розгортання гібридної безпеки даних

Використовуйте цю процедуру, щоб перевірити сценарії шифрування гібридної безпеки даних.

Перш ніж почати

Налаштуйте розгортання гібридної безпеки даних.
Активуйте ознайомлювальну версію та додайте кілька користувачів пробної версії.
Переконайтеся, що у вас є доступ до системного журналу, щоб переконатися, що запити на ключ передаються до вашого розгортання гібридної безпеки даних.

Надсилайте повідомлення в новий простір.

Ви повинні знайти такий запис (ідентифікатори скорочені для читабельності):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ви повинні знайти такий запис:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Ви повинні знайти такий запис:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ви повинні знайти такий запис:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Моніторинг працездатності гібридної безпеки даних

1.	У Control Hub , виберіть Служби з меню в лівій частині екрана.
2.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка параметрів безпеки гібридних даних.
3.	У розділі «Сповіщення електронної пошти» введіть одну або кілька адрес електронної пошти, розділені комами, і натисніть Введіть .

Додавання або видалення користувачів із пробної версії

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі «Ознайомлювальний режим» області стану служби клацніть Додати користувачів або клацніть переглянути та змінити щоб видалити користувачів із пробної версії.
4.	Введіть адресу електронної пошти одного або кількох користувачів, яких потрібно додати, або клацніть X за допомогою ідентифікатора користувача, щоб видалити користувача з ознайомлювальної версії. Потім натисніть Зберегти.

Перейдіть із пробної версії до робочої версії

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Стан служби клацніть Перейти до робочої версії .
4.	Підтвердьте, що хочете перемістити всіх користувачів у робочу версію.

Завершіть ознайомлювальну версію, не переходячи на робочу версію

1.	Увійдіть у Control Hub, а потім виберіть Служби .
2.	У розділі Безпека гібридних даних клацніть Налаштування .
3.	У розділі Деактивувати клацніть Деактивувати .
4.	Підтвердьте, що хочете деактивувати службу, і завершите ознайомлювальну версію.

Керуйте своїм розгортанням HDS

Керуйте розгортанням HDS

Використовуйте описані тут завдання, щоб керувати розгортанням гібридної безпеки даних.

Установіть розклад оновлення кластерів

Щоб установити розклад оновлення:

1.	Увійдіть в Control Hub.
2.	На сторінці "Огляд" у розділі "Гібридні служби" виберіть Гібридна безпека даних .
3.	На сторінці Ресурси безпеки гібридних даних виберіть кластер.
4.	На панелі «Огляд» праворуч у розділі «Налаштування кластера» виберіть ім’я кластера.
5.	На сторінці налаштувань у розділі «Оновлення» виберіть час і часовий пояс для розкладу оновлення. Примітка. Під часовим поясом відображається наступна доступна дата й час оновлення версії. За потреби можна відкласти оновлення версії на наступний день, натиснувши Відкласти .

Змініть конфігурацію вузла

Іноді вам може знадобитися змінити конфігурацію вузла Hybrid Data Security з такої причини, як:

Зміна сертифікатів x.509 через закінчення терміну дії або з інших причин.

Оновлення налаштувань бази даних для зміни на репліку бази даних PostgreSQL або Microsoft SQL Server.

Створення нової конфігурації для підготовки нового дата-центру.

М 'яке скидання- старий і новий паролі працюють до 10 днів. Використовуйте цей період, щоб поступово замінити файл ISO на вузлах.
Hard Reset- старі паролі негайно перестають працювати.

Використовуйте цю процедуру, щоб створити новий файл ISO конфігурації та застосувати його до вашого кластера.

Перш ніж почати

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Для створення нової конфігурації потрібна копія поточного файлу конфігурації ISO. ISO містить головний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Під час внесення змін до конфігурації, включаючи облікові дані бази даних, оновлення сертифікатів або зміни політики авторизації, потрібно використовувати ISO.

Використовуючи Docker на локальному комп 'ютері, запустіть інструмент налаштування HDS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Щоб увійти до реєстру Docker-образів, введіть наступне:
```
docker login -u hdscustomersro
```
У підказці пароля введіть цей хеш:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Після завершення витягування введіть відповідну команду для вашого середовища:
- У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```
- У звичайних середовищах з HTTP-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
```
- У звичайних середовищах із HTTPSproxy:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
```
- У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```
- У середовищах FedRAMP з HTTP-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
```
- У середовищах FedRAMP з HTTPS-проксі:
```
docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
```
Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

Використовуйте браузер для підключення до локального вузла, http://127.0.0.1:8080.

Коли з 'явиться запит, введіть облікові дані для входу в Центр керування клієнтами, а потім натисніть "Прийняти", щоб продовжити.
Імпортуйте поточний файл конфігурації ISO.
Дотримуйтесь вказівок, щоб завершити інструмент і завантажити оновлений файл.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.
Створіть резервну копію оновленого файлу в іншому центрі обробки даних.

Встановіть HDS хост OVA.
Налаштуйте HDS VM.
Змонтуйте оновлений файл конфігурації.
Зареєструйте новий вузол в Control Hub.

Вимкніть віртуальну машину.
На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Клацніть CD/DVD Drive 1, виберіть параметр для монтування з файлу ISO і перейдіть до місця, де ви завантажили новий файл конфігурації ISO.
Перевірте підключення при увімкненому живленні.
Збережіть зміни та ввімкніть віртуальну машину.

Повторіть крок 3, щоб замінити конфігурацію на кожному вузлі, що працює за старою конфігурацією.

Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

Перш ніж почати

1.	У веббраузері відкрийте інтерфейс вузла Hybrid Data Security (IP-адреса/налаштування, наприклад,https://192.0.2.0/setup), введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Огляд (сторінка за замовчуванням). Якщо ввімкнено, для параметра Blocked External DNS Resolution (Заблокована зовнішня роздільна здатність DNS) встановлено значення
3.	Перейдіть до Сховище довіри та проксі сторінка.
4.	Клацніть Перевірте підключення проксі . Якщо з’явиться повідомлення про помилку розв’язання зовнішнього DNS, вузол не зміг зв’язатися з сервером DNS і залишиться в цьому режимі. В іншому разі після перезавантаження вузла й повернення до Огляд сторінки, роздільна здатність заблокованого зовнішнього DNS має бути встановлена на no.

Що далі

Повторіть перевірку підключення до проксі на кожному вузлі в кластері гібридної безпеки даних.

Видалити вузол

Видалити вузол:

Увійдіть у Control Hub, а потім виберіть Служби .
На картці гібридної безпеки даних клацніть Переглянути всі , щоб відобразити сторінку ресурсів безпеки гібридних даних.
Виберіть кластер, щоб відобразити панель «Огляд».
Клацніть Відкрити список вузлів .
На вкладці Вузли виберіть вузол, який потрібно видалити.
Клацніть Дії > Скасувати реєстрацію вузла .

Аварійне відновлення за допомогою резервного центру обробки даних

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Після налаштування сервера Syslogd клацніть Розширені налаштування


passiveMode: 'false'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Що далі

(Необов’язково) Відключіть ISO після конфігурації HDS

Перш ніж почати

Оновіть усі вузли HDS до версії 2021.01.22.4720 або пізнішої.

1.	Вимкніть один із вузлів HDS.
2.	У vCenter Server Appliance виберіть вузол HDS.
3.	Виберіть Змінити налаштування > CD/DVD-привід і зніміть прапорець Файл ISO сховища даних .
4.	Увімкніть вузол HDS і переконайтеся, що попередження немає принаймні 20 хвилин.
5.	Повторіть по черзі для кожного вузла HDS.

Усунення проблем гібридної безпеки даних

Перегляд сповіщень і усунення несправностей

Неможливо створити нові простори (неможливо створити нові ключі)
Не вдалося розшифрувати повідомлення та назви просторів для:
- До простору додано нових користувачів (не вдається отримати ключі)
- Наявні користувачі в просторі, що використовують нового клієнта (не вдається отримати ключі)
Наявні користувачі в просторі продовжуватимуть успішно працювати, доки їхні клієнти мають кеш ключів шифрування.

Сповіщення

Таблиця 1. Загальні проблеми та кроки до їх вирішення
Оповіщення	Дія
Помилка доступу до локальної бази даних.	Перевірте помилки бази даних або проблеми з локальною мережею.
Помилка підключення до локальної бази даних.	Переконайтеся, що сервер бази даних доступний, а в конфігурації вузла використано правильні облікові дані облікового запису служби.
Помилка доступу до хмарної служби.	Переконайтеся, що вузли мають доступ до серверів Webex, як зазначено в Вимоги до зовнішнього підключення .
Поновлення реєстрації хмарної служби.	Реєстрацію в хмарних службах перервано. Триває поновлення реєстрації.
Реєстрацію хмарної служби зупинено.	Реєстрацію в хмарних службах припинено. Служба завершується.
Службу ще не активовано.	Активуйте ознайомлювальну версію або завершите переміщення пробної версії до робочої версії.
Налаштований домен не відповідає сертифікату сервера.	Переконайтеся, що сертифікат сервера збігається з налаштованим доменом активації служби. Найімовірніша причина полягає в тому, що CN сертифіката було нещодавно змінено, і тепер він відрізняється від CN, який використовувався під час початкового налаштування.
Не вдалося автентифікуватися в хмарних службах.	Перевірте точність і можливе закінчення терміну дії облікових даних облікового запису служби.
Не вдалося відкрити файл локального сховища ключів.	Перевірте цілісність і точність пароля у файлі локального сховища ключів.
Сертифікат локального сервера неприпустимий.	Перевірте дату закінчення терміну дії сертифіката сервера та переконайтеся, що його видано довіреним центром сертифікації.
Не вдалося опублікувати показники.	Перевірте доступ локальної мережі до зовнішніх хмарних служб.
/media/configdrive/hds не існує.	Перевірте конфігурацію монтування ISO на віртуальному хості. Переконайтеся, що файл ISO існує, що його налаштовано на підключення під час перезавантаження та що він успішно підключений.

Усунення проблем гібридної безпеки даних

Використовуйте наведені далі загальні інструкції під час усунення проблем із гібридною безпекою даних.

1.	Перевірте Control Hub на наявність сповіщень і виправте будь-які елементи, які ви там знайдете.
2.	Перевірте вивід сервера системного журналу щодо активності розгортання гібридної безпеки даних.
3.	Контакт Підтримка Cisco .

Інші примітки

Відомі проблеми безпеки гібридних даних

Якщо ви завершите роботу кластера гібридної безпеки даних (шляхом видалення його в Control Hub або закривши всі вузли), втратите файл ISO конфігурації або втратите доступ до бази даних сховища ключів, користувачі програми Webex більше не зможуть використовувати простори в розділі "Контакти". список, створений за допомогою ключів із KMS. Це стосується як пробного, так і робочого розгортання. Наразі ми не маємо обхідних шляхів або виправлення цієї проблеми. Ми закликаємо вас не закривати служби HDS після того, як вони оброблятимуть активні облікові записи користувачів.
Клієнт, який має наявне підключення ECDH до KMS, підтримує це підключення протягом певного періоду часу (імовірно, однієї години). Коли користувач стає учасником ознайомлювальної версії гібридної безпеки даних, клієнт користувача продовжує використовувати наявне підключення ECDH, доки не завершиться час очікування. Крім того, користувач може вийти та знову ввійти в програму Webex, щоб оновити розташування, до якого програма звертається для отримання ключів шифрування.

Така ж поведінка відбувається під час переміщення пробної версії до робочої версії для організації. Усі користувачі без пробної версії, які мають наявні підключення ECDH до попередніх служб безпеки даних, продовжуватимуть використовувати ці служби, доки не буде переузгоджено підключення ECDH (через тайм-аут або вихід із системи та повторний вхід).

Використовуйте OpenSSL для створення файлу PKCS12

Перш ніж почати

OpenSSL — це один із інструментів, який можна використовувати для створення файлу PKCS12 у відповідному форматі для завантаження в інструменті налаштування HDS. Це можна зробити й іншими способами. Ми не підтримуємо й не рекламуємо один із них.
Якщо ви вирішите використовувати OpenSSL, ми надаємо цю процедуру як інструкцію, яка допоможе вам створити файл, який відповідає вимогам до сертифіката X.509 у Вимоги до сертифіката X.509 . Ознайомтеся з цими вимогами, перш ніж продовжити.
Установіть OpenSSL у підтримуваному середовищі. Дивhttps://www.openssl.org для програмного забезпечення та документації.
Створіть закритий ключ.
Почніть цю процедуру, коли отримаєте сертифікат сервера від центру сертифікації (CA).

1.	Отримавши сертифікат сервера від CA, збережіть його як `hdsnode.pem`.
2.	Відобразіть сертифікат у вигляді тексту та перевірте відомості. `openssl x509 -text -noout -in hdsnode.pem`
3.	Використовуйте текстовий редактор, щоб створити файл пакета сертифікатів під назвою `hdsnode-bundle.pem`. Файл пакета має містити сертифікат сервера, будь-які проміжні сертифікати CA та сертифікати кореневого CA у форматі нижче: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4.	Створіть файл .p12 зі зручним іменем `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5.	Перевірте відомості про сертифікат сервера. `openssl pkcs12 -in hdsnode.p12` Введіть пароль у підказці, щоб зашифрувати закритий ключ, щоб він відображався у виводі. Потім переконайтеся, що закритий ключ і перший сертифікат містять рядки `friendlyName: kms-private-key`. Приклад: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Що далі

Трафік між вузлами HDS і хмарою

Трафік збору вихідних показників

Вхідний трафік

Вузли гібридної безпеки даних отримують такі типи вхідного трафіку з хмари Webex:

Запити шифрування від клієнтів, які маршрутизуються службою шифрування
Оновлення програмного забезпечення вузла

Налаштуйте проксі Squid для гібридної безпеки даних

Websocket не вдається підключитися через проксі-сервер Squid

Кальмари 4 і 5

Додайте on_unsupported_protocol директива до squid.conf.

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Передмова

Нова та змінена інформація

Дата

Внесені зміни

20 жовтня 2023 року

Оновлена інформація в Вимоги до сервера бази даних .
Додано Налаштуйте резервний центр обробки даних для аварійного відновлення .
Оновлена інформація в Резервний центр обробки даних для аварійного відновлення і Аварійне відновлення за допомогою резервного центру обробки даних .

7 серпня 2023 року

Додано примітку в Завантажте файли встановлення .
Додано примітку в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

23 травня 2023 року

Видалена інформація з Вимоги до сервера бази даних подати запит на ввімкнення функції, звернувшись до команди облікового запису.
Оновлена інформація в Вимоги до зовнішнього підключення і додав Канаду до таблиці хостів CI.
Додано примітку в Очікування щодо розгортання гібридної безпеки даних щодо недоступності механізмів для переміщення ключів назад до хмари.

6 грудня 2022 року

Образи інструмента налаштування HDS тепер розміщено в ciscocitg репозиторій dockerhub.
Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла теми, щоб відобразити зміни в командах.

23 листопада 2022 року

Вузли HDS тепер можуть використовувати автентифікацію Windows для Microsoft SQL Server.

Оновлено Вимоги до сервера бази даних тему з додатковими вимогами для цього режиму автентифікації.

Оновлено Створіть ISO конфігурації для хостів HDS з процедурою налаштування автентифікації Windows на вузлах.
Оновлено Вимоги до сервера бази даних тему з новими мінімальними необхідними версіями (PostgreSQL 10).

13 жовтня 2021 р.

Щоб установити вузли HDS, Docker Desktop необхідно запустити програму встановлення. Див Вимоги до Docker Desktop .

24 червня 2021 року

30 квітня 2021 р.

24 лютого 2021 р.

2 лютого 2021 р.

11 січня 2021 року

Додано інформацію про інструмент налаштування HDS і проксі в Створіть ISO конфігурації для хостів HDS .

13 жовтня 2020 р.

8 жовтня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла з командами для середовищ FedRAMP.

14 серпня 2020 р.

Оновлено Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла зі змінами в процесі входу.

5 серпня 2020 р.

Оновлено Перевірте розгортання гібридної безпеки даних для змін у повідомленнях журналу.

Оновлено Вимоги до віртуального хоста щоб видалити максимальну кількість хостів.

16 червня 2020 р.

Оновлено Видалити вузол для змін в інтерфейсі користувача Control Hub.

4 червня 2020 р.

29 травня 2020 р.

5 травня 2020 р.

Оновлено Вимоги до віртуального хоста щоб відобразити нові вимоги ESXi 6.5.

21 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з новими хостами CI Північної і Південної Америки.

1 квітня 2020 р

Оновлено Вимоги до зовнішнього підключення з інформацією про регіональні хости CI.

4 лютого 2020 р Оновлено Вимоги до проксі-сервера .

19 листопада 2019 р.

Додано інформацію про режим дозволу заблокованого зовнішнього DNS в таких розділах:

Підтримка проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі
Вимкніть режим роздільної здатності заблокованого зовнішнього DNS

8 листопада 2019 р.

Тепер можна налаштувати параметри мережі для вузла під час розгортання OVA, а не пізніше.

Відповідно оновлено такі розділи:

Потік завдань розгортання безпеки гібридних даних
Установіть OVA хоста HDS
Налаштуйте віртуальну машину гібридної безпеки даних

6 вересня 2019 р.

Стандартний SQL Server додано до Вимоги до сервера бази даних .

20 серпня 2019 р.

Підтримка проксі-сервера
Вимоги до проксі-сервера
Налаштуйте вузол HDS для інтеграції проксі

6 березня 2019 року

Вимоги та обов’язкові умови переміщено в окремий розділ, Підготуйте своє середовище .
Додано Потік завдань розгортання безпеки гібридних даних огляд у розділі Налаштуйте кластер гібридної безпеки даних .

Зауважено, що поки ви не почнете ознайомлювальну версію (використовуючи інструкції в наступному розділі), ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.
Додано Потік завдань із пробної версії до виробничого у розділі Запустіть ознайомлювальну версію та перейдіть до робочої версії .

28 лютого 2019 року

Виправлено кількість простору локального жорсткого диска на сервер, який ви повинні були виділити під час підготовки віртуальних хостів, які стануть вузлами гібридної безпеки даних, з 50 ГБ до 20 ГБ, щоб відобразити розмір диска, який створює OVA.

26 лютого 2019 р.

Вузли гібридної безпеки даних тепер підтримують зашифровані підключення до серверів баз даних PostgreSQL, а також зашифровані підключення для ведення журналів до сервера системного журналу з підтримкою TLS. Оновлено Створіть ISO конфігурації для хостів HDS з інструкціями.
Цільові URL-адреси видалено з таблиці "Вимоги до підключення до інтернету для віртуальних машин вузлів гібридної безпеки даних". Тепер таблиця посилається на список, який ведеться в таблиці "Додаткові URL-адреси для гібридних служб Webex Teams" Вимоги до мережі для служб Webex Teams .

24 січня 2019 р.

5 листопада 2018 року

Додано попередній крок для очищення наявних екземплярів Docker hds Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .
Оновлено крок рівня доступу до ключів Створіть ISO конфігурації для хостів HDS щоб відповідати інтерфейсу.

19 жовтня 2018 року

Розділіть інформацію про підключення брандмауера на вимоги до вузла та вимоги комп’ютера до конфігурації ISO Виконайте обов’язкові умови для гібридної безпеки даних .

31 липня 2018 року

Додано порт 22 (доступ SSH) і інформацію про NAT і підключення до брандмауера Виконайте обов’язкові умови для гібридної безпеки даних .

21 травня 2018 р.

Термінологію змінено, щоб відобразити ребрендинг Cisco Spark:

Гібридна безпека даних Cisco Spark тепер є гібридною безпекою даних.
Програма Cisco Spark тепер стала програмою Webex.
Хмара Cisco Collaboraton тепер хмара Webex.

11 квітня 2018 року

Додано Резервний центр обробки даних для аварійного відновлення .
Оновлено Виконайте обов’язкові умови для гібридної безпеки даних щоб указати, що середовище резервного копіювання має бути в іншому центрі обробки даних.
Оновлено Аварійне відновлення за допомогою резервного центру обробки даних .

22 лютого 2018 р.

Додано інформацію про 9-місячний термін дії пароля облікового запису служби та використання інструмента налаштування HDS для скидання паролів облікового запису служби в Створіть ISO конфігурації для хостів HDS і Змініть конфігурацію вузла .

15 лютого 2018 року

У Вимоги до сертифіката X.509 вказано, що сертифікат не може бути сертифікатом із символами підстановки та що KMS використовує домен CN, а не будь-який домен, визначений у полях x.509v3 SAN.

18 січня 2018 року

Додано додаток, Трафік між вузлами HDS і хмарою .
Вилучено вирішену проблему з Відомі проблеми безпеки гібридних даних .
index.docker.io змінено на *.docker.io та додано *.cloudfront.net до списку вимог до підключення TCP для вузлів HDS у Виконайте обов’язкові умови для гібридної безпеки даних .
Оновлено Створіть ISO конфігурації для хостів HDS щоб зазначити, що якщо хост бази даних і сервер Syslogd не можна розпізнати DNS на вузлах HDS, їх потрібно налаштувати за допомогою IP-адрес.

2 листопада 2017 року

Уточнена синхронізація каталогів HdsTrialGroup.
Виправлені інструкції щодо передавання файлу конфігурації ISO для підключення до вузлів віртуальної машини.

18 серпня 2017 року

Вперше опубліковано

Почніть роботу з гібридною безпекою даних

Огляд безпеки гібридних даних

Архітектура області безпеки

Хмарна архітектура Webex розділяє різні типи служб на окремі області або довірені домени, як показано нижче.

Клієнт встановлює захищене підключення до служби керування ключами (KMS), а потім запитує ключ для шифрування повідомлення. Захищене підключення використовує ECDH, а KMS шифрує ключ за допомогою головного ключа AES-256.
Повідомлення шифрується, перш ніж залишити клієнт. Клієнт надсилає його до служби індексування, яка створює зашифровані індекси пошуку, щоб допомогти в майбутніх пошуках контенту.
Зашифроване повідомлення надсилається до служби відповідності для перевірки відповідності.
Зашифроване повідомлення зберігається в області сховища.

Співпраця з іншими організаціями

Очікування щодо розгортання гібридної безпеки даних

Щоб розгорнути гібридну безпеку даних, необхідно надати:

Захищений центр обробки даних у країні, яка є підтримуване розташування для планів Cisco Webex Teams .
Обладнання, програмне забезпечення та доступ до мережі, описані в Підготуйте своє середовище .

Керуйте резервним копіюванням і відновленням бази даних і ISO конфігурації.
Будьте готові виконати швидке відновлення після аварії, якщо станеться катастрофа, як-от збій диска бази даних або аварійний стан центру обробки даних.

Немає механізму переміщення ключів назад до хмари після розгортання HDS.

Процес налаштування високого рівня

У цьому документі описано налаштування та керування розгортанням гібридної безпеки даних:

Налаштуйте безпеку гібридних даних —Це включає підготовку необхідної інфраструктури та встановлення програмного забезпечення Hybrid Data Security, тестування розгортання з підгрупою користувачів у ознайомлювальному режимі та, після завершення тестування, перехід до робочої версії. Це перетворить всю організацію на використання кластера гібридної безпеки даних для функцій безпеки.
Про фази налаштування, ознайомлювальної версії та виробництва докладно описано в наступних трьох розділах.
Підтримуйте розгортання гібридної безпеки даних — Хмара Webex автоматично надає поточні оновлення версії. Ваш ІТ-відділ може надати підтримку першого рівня для цього розгортання та за потреби залучити підтримку Cisco. Ви можете використовувати екранні сповіщення та налаштувати сповіщення на основі електронної пошти в Control Hub.
Ознайомтеся з поширеними сповіщеннями, кроками з усунення несправностей та відомими проблемами — Якщо у вас виникнуть проблеми з розгортанням або використанням гібридної безпеки даних, останній розділ цього посібника та додаток «Відомі проблеми» можуть допомогти вам визначити й усунути проблему.

Модель розгортання гібридної безпеки даних

Модель розгортання гібридної безпеки даних

Ми підтримуємо лише один кластер на організацію.

Ознайомлювальний режим безпеки гібридних даних

Резервний центр обробки даних для аварійного відновлення

Налаштуйте резервний центр обробки даних для аварійного відновлення

Виконайте наведені нижче дії, щоб налаштувати файл ISO резервного центру обробки даних:

Перш ніж почати

Резервний центр обробки даних має відображати виробниче середовище віртуальних машин і резервну копію бази даних PostgreSQL або Microsoft SQL Server. Наприклад, якщо робоча версія має 3 віртуальні машини з вузлами HDS, середовище резервного копіювання має містити 3 віртуальні машини. (Див Резервний центр обробки даних для аварійного відновлення для огляду цієї моделі резервного перемикання.)
Переконайтеся, що ввімкнено синхронізацію бази даних між базою даних активних і пасивних вузлів кластера.

Запустіть інструмент налаштування HDS і виконайте кроки, зазначені в Створіть ISO конфігурації для хостів HDS .

Після налаштування сервера Syslogd клацніть Розширені налаштування


passiveMode: 'true'

Завершіть процес налаштування та збережіть файл ISO у місці, яке легко знайти.

Клацніть Змінити налаштування > Привід CD/DVD 1 і виберіть файл ISO сховища даних.

Увімкніть вузол HDS і переконайтеся, що немає попереджень щонайменше 15 хвилин.

Повторіть процес для кожного вузла в резервному центрі обробки даних.

Що далі

Підтримка проксі-сервера

Вузли гібридної безпеки даних підтримують такі параметри проксі:

Немає проксі — Значення за замовчуванням, якщо ви не використовуєте налаштування вузла HDS, сховища довіри та конфігурацію проксі для інтеграції проксі. Оновлення сертифіката не потрібно.
Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно.
Прозорий проксі з тунелюванням або перевіркою —Вузли не налаштовані на використання конкретної адреси проксі-сервера. На вузлах змінювати конфігурацію HTTP або HTTPS не потрібно. Однак вузлам потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS).
Явний проксі — За допомогою явного проксі ви вказуєте вузлам HDS, який проксі-сервер і схему автентифікації використовувати. Щоб налаштувати явний проксі-сервер, необхідно ввести таку інформацію на кожному вузлі:
1. IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом.
2. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку.
3. Протокол проксі — Залежно від того, що підтримує ваш проксі-сервер, виберіть один із таких протоколів:
  - HTTP — перегляд і контроль усіх запитів, які надсилає клієнт.
  - HTTPS — надає канал до сервера. Клієнт отримує та перевіряє сертифікат сервера.
4. Тип автентифікації — Виберіть один із таких типів автентифікації:
  - Немає — подальша автентифікація не потрібна.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
  - Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64.
    
    Доступно, якщо вибрано HTTP або HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.
  - Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу.
    
    Доступно, лише якщо вибрано HTTPS як протокол проксі.
    
    Вимагає ввести ім’я користувача та пароль на кожному вузлі.

Приклад гібридних вузлів безпеки даних і проксі

Режим дозволу заблокованого зовнішнього DNS (явні конфігурації проксі)

Підготуйте своє середовище

Вимоги до гібридної безпеки даних

Вимоги до ліцензії Cisco Webex

Щоб розгорнути гібридну безпеку даних:

Ви повинні мати пакет Pro для Cisco Webex Control Hub. (Дивhttps://www.cisco.com/go/pro-pack .)

Вимоги до Docker Desktop

Вимоги до сертифіката X.509

Ланцюжок сертифікатів має відповідати таким вимогам:

Таблиця 1. Вимоги до сертифіката X.509 для розгортання гібридної безпеки даних
Вимоги	Відомості
Підписано довіреним центром сертифікації (CA)	За замовчуванням ми довіряємо ЦС у списку Mozilla (за винятком WoSign і StartCom) за адресоюhttps://wiki.mozilla.org/CA:IncludedCAs .
Має доменне ім’я Common Name (CN), яке ідентифікує ваше розгортання гібридної безпеки даних Не є сертифікатом із символом підстановки	CN не обов’язково має бути доступним або активним організатором. Рекомендовано використовувати назву, яка відображає вашу організацію, наприклад, `hds.company.com`. CN не повинна містити символ * (підстановка). CN використовується для перевірки вузлів гібридної безпеки даних для клієнтів програми Webex. Усі вузли гібридної безпеки даних у вашому кластері використовують той самий сертифікат. Ваш KMS ідентифікує себе за допомогою домену CN, а не будь-якого домену, який визначено в полях SAN x.509v3. Після реєстрації вузла за допомогою цього сертифіката зміна імені домену CN не підтримується. Виберіть домен, який може застосовуватися як для ознайомлювального, так і для робочого розгортання.
Підпис не SHA1	Програмне забезпечення KMS не підтримує підписи SHA1 для перевірки підключень до KMS інших організацій.
Відформатовано як файл PKCS № 12, захищений паролем Використовуйте дружнє ім’я користувача `kms-private-key` щоб позначити сертифікат, закритий ключ і будь-які проміжні сертифікати для передавання.	Щоб змінити формат сертифіката, можна використовувати конвертер, наприклад OpenSSL. Під час запуску засобу налаштування HDS потрібно буде ввести пароль.

Вимоги до віртуального хоста

Віртуальні хости, які ви налаштуєте як вузли гібридної безпеки даних у своєму кластері, мають такі вимоги:

Принаймні два окремих хости (рекомендовано 3) розташовані в одному захищеному центрі обробки даних
VMware ESXi 6.5 (або пізнішої версії) встановлено та працює.

Необхідно оновити версію, якщо у вас є попередня версія ESXi.
Мінімум 4 vCPU, 8 ГБ основної пам’яті, 30 ГБ місця на локальному жорсткому диску на сервер

Вимоги до сервера бази даних

Є два варіанти для сервера бази даних. Вимоги до кожного є такими:

Таблиця 2. Вимоги до сервера бази даних за типом бази даних

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 або 16, установлено та запущено.

Установлено SQL Server 2016, 2017 або 2019 (Enterprise або Standard).

Для SQL Server 2016 потрібні пакет оновлень 2 і накопичувальне оновлення 2 або пізнішої версії.

Зараз програмне забезпечення HDS встановлює такі версії драйверів для зв’язку із сервером бази даних:

PostgreSQL

Microsoft SQL Server

Драйвер JDBC Postgres 42.2.5

Драйвер JDBC SQL Server 4.6

Додаткові вимоги до автентифікації Windows у Microsoft SQL Server

Вузли HDS, інфраструктура Active Directory і MS SQL Server мають бути синхронізовані з NTP.
Обліковий запис Windows, який ви надаєте вузлам HDS, повинен мати доступ для читання та запису до бази даних.
Сервери DNS, які ви надаєте вузлам HDS, повинні мати можливість дозволити ваш центр розподілу ключів (KDC).
Ви можете зареєструвати екземпляр бази даних HDS на Microsoft SQL Server як ім’я користувача-служби (SPN) у вашому Active Directory. Див Зареєструйте ім’я користувача-служби для підключень Kerberos .

Інструмент налаштування HDS, засіб запуску HDS і локальний KMS повинні використовувати автентифікацію Windows для доступу до бази даних сховища ключів. Вони використовують дані вашої конфігурації ISO для створення SPN, коли запитують доступ за допомогою автентифікації Kerberos.

Вимоги до зовнішнього підключення

Налаштуйте брандмауер, щоб дозволити такі можливості підключення для програм HDS:

Застосування	Протокол	Порт	Напрямок із програми	Призначення
Вузли гібридної безпеки даних	TCP	443	Вихідні HTTPS і WSS	Сервери Webex: .wbx2.com .ciscospark.com Усі хости Common Identity Інші URL-адреси, перелічені для гібридної безпеки даних у Додаткові URL-адреси для гібридних служб Webex таблицю з Вимоги до мережі для служб Webex
Інструмент налаштування HDS	TCP	443	Вихідний HTTPS	*.wbx2.com Усі хости Common Identity hub.docker.com

URL-адреси хостів Common Identity (CI) залежать від регіону. Це поточні хости CI:

Регіон	URL-адреси хоста спільних ідентифікаційних даних
Північна та Південна Америки	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Європейський Союз	https://idbroker-eu.webex.com https://identity-eu.webex.com
Канада	https://idbroker-ca.webex.com https://identity-ca.webex.com

Вимоги до проксі-сервера

Прозорий проксі — Cisco Web Security Appliance (WSA).

Явний проксі — Squid.

Підтримуються такі комбінації типів автентифікації для явних проксі-серверів:
- Немає автентифікації за допомогою HTTP або HTTPS
- Базова автентифікація за допомогою HTTP або HTTPS
- Дайджест автентифікації лише за допомогою HTTPS
Для прозорого проксі-сервера з перевіркою або явного проксі-сервера HTTPS необхідно мати копію кореневого сертифіката проксі. В інструкціях із розгортання в цьому посібнику описано, як передати копію до сховищ довіри вузлів гібридної безпеки даних.
Мережа, де розміщено вузли HDS, повинна бути налаштована на примусове маршрутизацію вихідного трафіку TCP через порт 443 через проксі.
Проксі-сервери, які перевіряють веб-трафік, можуть перешкоджати з 'єднанню веб-сокетів. Якщо ця проблема виникне, обійти (не перевіряти) трафік до wbx2.com і ciscospark.com вирішить проблему.

Виконайте обов’язкові умови для гібридної безпеки даних

Створіть базу даних для зберігання ключів. (Ви повинні створити цю базу даних — не використовуйте базу даних за замовчуванням. Програми HDS після встановлення створюють схему бази даних.)
Зберіть відомості, які вузли використовуватимуть для зв’язку із сервером бази даних:
- ім’я хоста або IP-адресу (хост) і порт
- ім’я бази даних (dbname) для зберігання ключів
- ім’я користувача та пароль користувача з усіма правами в базі даних сховища ключів

Налаштуйте кластер гібридної безпеки даних

Потік завдань розгортання безпеки гібридних даних

Перш ніж почати

Завантажте файл OVA на локальний комп’ютер для подальшого використання.

Налаштуйте віртуальну машину гібридної безпеки даних

Створіть віртуальну машину з файлу OVA та виконайте початкове налаштування, наприклад налаштування мережі.

Налаштуйте віртуальну машину з файлу конфігурації ISO, який ви створили за допомогою засобу налаштування HDS.

Зареєструйте віртуальну машину в хмарі Cisco Webex як вузол гібридної безпеки даних.

Завершіть налаштування кластера.

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Завантажте файли встановлення

Увійти вhttps://admin.webex.com , а потім клацніть Служби .

У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Налаштування .

Виберіть Ні , щоб указати, що вузол ще не налаштовано, а потім клацніть Далі .

Завантаження файлу OVA почнеться автоматично. Збережіть файл у розташуванні на вашому комп’ютері.

Створіть ISO конфігурації для хостів HDS

Перш ніж почати

Опис	Змінна
HTTP-проксі без автентифікації	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-проксі без автентифікації	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP-проксі з автентифікацією	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-проксі з аутентифікацією	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Створений вами файл конфігурації містить основний ключ, що шифрує базу даних PostgreSQL або Microsoft SQL Server. Остання копія цього файлу потрібна щоразу, коли ви вносите зміни конфігурації, наприклад:
- Облікові дані бази даних
- Оновлення сертифіката
- Зміни політики авторизації
Якщо ви плануєте шифрувати підключення до бази даних, налаштуйте розгортання PostgreSQL або SQL Server для TLS.

У командному рядку вашого комп 'ютера введіть відповідну команду для вашого середовища:

У звичайних умовах:

docker rmi ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Щоб увійти до реєстру Docker-образів, введіть наступне:

docker login -u hdscustomersro

У підказці пароля введіть цей хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Завантажте останнє стабільне зображення для вашого середовища:

У звичайних умовах:

docker pull ciscocitg/hds-setup:stable

У середовищах FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Після завершення витягування введіть відповідну команду для вашого середовища:

У звичайних середовищах без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
```

У звичайних середовищах з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У звичайних середовищах з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

У середовищах FedRAMP без проксі-сервера:
```
docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
```

У середовищах FedRAMP з HTTP-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

У середовищах FedRAMP з HTTPS-проксі:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Коли контейнер працює, ви бачите "Експрес-сервер прослуховує порт 8080".

На сторінці огляду інструмента налаштування клацніть Почати роботу .

На Імпорт ISO на сторінці, у вас є такі параметри:

Ні —Якщо ви створюєте свій перший вузол HDS, у вас немає файлу ISO для передавання.
Так —Якщо ви вже створили вузли HDS, виберіть файл ISO під час перегляду й передайте його.

Переконайтеся, що ваш сертифікат X.509 відповідає вимогам у Вимоги до сертифіката X.509 .

Якщо ви ніколи раніше не передавали сертифікат, передайте сертифікат X.509, введіть пароль і клацніть Продовжити .
Якщо сертифікат відповідає вимогам, клацніть Продовжити .
Якщо термін дії сертифіката завершився або ви хочете його замінити, виберіть Ні для Продовжити використовувати ланцюжок сертифікатів HDS і закритий ключ із попереднього ISO? . Передайте новий сертифікат X.509, введіть пароль і клацніть Продовжити .

Введіть адресу бази даних і обліковий запис HDS, щоб отримати доступ до сховища ключових даних:

Виберіть свій Тип бази даних ( PostgreSQL або Microsoft SQL Server ).

Якщо ви виберете Microsoft SQL Server , ви отримаєте поле Тип автентифікації.
( Microsoft SQL Server тільки) Виберіть свій Тип автентифікації :
- Базова автентифікація : Потрібне ім’я локального облікового запису SQL Server у файлі Ім’я користувача поле.
- Автентифікація Windows : Потрібен обліковий запис Windows у форматі username@DOMAIN в Ім’я користувача поле.
Введіть адресу сервера бази даних у формі <hostname>:<port> або <IP-address>:<port>.

Приклад:
dbhost.example.org:1433 або 198.51.100.17:1433

Можна використовувати IP-адресу для базової автентифікації, якщо вузли не можуть використовувати DNS для визначення імені хоста.

Якщо ви використовуєте автентифікацію Windows, необхідно ввести повне доменне ім’я у форматі dbhost.example.org:1433
Введіть Ім’я бази даних .
Введіть Ім’я користувача і Пароль користувача з усіма правами на базу даних сховища ключів.

Виберіть a Режим підключення до бази даних TLS :

Режим

Опис

Віддати перевагу TLS (параметр за замовчуванням)

Вимагати TLS

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.

Вимагати TLS і перевіряти підписувача сертифіката

Цей режим не застосовується до баз даних SQL Server.

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.

Вимагати TLS та перевіряти підписувача сертифіката та ім 'я хоста

Вузли HDS з 'єднуються тільки в тому випадку, якщо сервер бази даних може обговорювати TLS.
Після встановлення підключення TLS вузол порівнює підписувача сертифіката з сервера бази даних із центром сертифікації в Кореневий сертифікат бази даних . Якщо вони не збігаються, вузол розриває з 'єднання.
Вузли також перевіряють, що ім’я хоста в сертифікаті сервера збігається з іменем хоста в Хост бази даних і порт поле. Імена повинні точно збігатися, або вузол розриває з 'єднання.

На сторінці системних журналів налаштуйте сервер Syslogd:

Введіть URL-адресу сервера системного журналу.

Якщо сервер не можна розділити з DNS на вузлах кластера HDS, використовуйте IP-адресу в URL-адресі.

Приклад:
udp://10.92.43.23:514 вказує на ведення журналу до хоста Syslogd 10.92.43.23 через UDP-порт 514.
Якщо ви налаштували свій сервер на використання шифрування TLS, перевірте Чи налаштовано ваш сервер системного журналу на шифрування SSL? .

Якщо встановити цей прапорець, переконайтеся, що ви ввели URL-адресу TCP, наприклад tcp://10.92.43.23:514.
З Виберіть припинення запису системного журналу у розкривному меню виберіть відповідне налаштування для вашого файлу ISO: Виберіть або Новий рядок використовується для Graylog і Rsyslog TCP
- Нульовий байт -- \x00
- Новий рядок -- \n —Виберіть цей варіант для Graylog і Rsyslog TCP.
Клацніть Продовжити.

app_datasource_connection_pool_maxSize: 10

Клацніть Продовжити на Скинути пароль службових облікових записів екрана.

Клацніть Завантажте файл ISO . Збережіть файл у місці, яке легко знайти.

Створіть резервну копію файлу ISO у локальній системі.

Щоб вимкнути інструмент налаштування, введіть CTRL+C.

Що далі

Ми ніколи не маємо копії цього ключа. Ми не можемо допомогти, якщо ви її втратите.

Установіть OVA хоста HDS

Використовуйте цю процедуру, щоб створити віртуальну машину з файлу OVA.

Використовуйте клієнт VMware vSphere на своєму комп’ютері, щоб увійти до віртуального хоста ESXi.

Виберіть Файл > Розгорнути шаблон OVF .

У майстрі вкажіть розташування файлу OVA, який ви завантажили раніше, а потім клацніть Далі .

На Виберіть обчислювальний ресурс виберіть цільовий обчислювальний ресурс, а потім клацніть Далі .

Запускається перевірка. Після завершення відобразяться відомості про шаблон.

Перевірте відомості шаблону й клацніть Далі .

На Налаштувати шаблон налаштуйте такі параметри мережі:

Ім’я хоста —Введіть FQDN (ім’я хоста та домен) або ім’я хоста з одного слова для вузла.

Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
Щоб забезпечити успішну реєстрацію в хмарі, використовуйте лише малі символи в повному домені або імені хоста, які ви встановили для вузла. Наразі використання великих літер не підтримується.
Загальна довжина FQDN не повинна перевищувати 64 символи.

IP-адреса — Введіть IP-адресу для внутрішнього інтерфейсу вузла.

Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
Маска —Введіть адресу маски підмережі у вигляді десяткових крапок. Наприклад, 255.255.255.0 .
Шлюз —Введіть IP-адресу шлюзу. Шлюз – це вузол мережі, який слугує точкою доступу до іншої мережі.
Сервери DNS —Введіть розділений комами список серверів DNS, які обробляють перетворення імен доменів у числові IP-адреси. (Дозволено до 4 записів DNS.)
Сервери NTP —Введіть сервер NTP вашої організації або інший зовнішній сервер NTP, який можна використовувати у вашій організації. Сервери NTP за замовчуванням можуть працювати не для всіх підприємств. Для введення кількох серверів NTP також можна використовувати список, розділений комами.

Розгорніть усі вузли в одній підмережі або VLAN, щоб усі вузли в кластері були доступними для клієнтів у вашій мережі з адміністративними цілями.

Клацніть правою кнопкою миші вузол VM, а потім виберіть Потужність > Увімкнено .

Поради з усунення несправностей

Налаштуйте віртуальну машину гібридної безпеки даних

1.	У клієнті VMware vSphere виберіть свою віртуальну машину вузла гібридної безпеки даних і виберіть Консоль вкладка. ВМ завантажиться, і з’явиться запит щодо входу. Якщо запит щодо входу не відображається, натисніть Введіть .
2.	Використовуйте такі логін і пароль за замовчуванням для входу та зміни облікових даних: Вхід: `admin` Пароль: `cisco` Оскільки ви вперше входите на свою віртуальну машину, вам потрібно змінити пароль адміністратора.
3.	Якщо ви вже налаштували параметри мережі в Установіть OVA хоста HDS , пропустіть решту цієї процедури. В іншому разі в головному меню виберіть Змінити конфігурацію параметр.
4.	Налаштуйте статичну конфігурацію з інформацією про IP-адресу, маску, шлюз і DNS. Ваш вузол повинен мати внутрішню IP-адресу та DNS-ім’я. DHCP не підтримується.
5.	(Необов’язково) Змініть ім’я хоста, домен або сервери NTP, якщо потрібно, щоб вони відповідали вашій політиці мережі. Не потрібно налаштовувати домен відповідно до домену, який ви використовували для отримання сертифіката X.509.
6.	Збережіть конфігурацію мережі та перезавантажте віртуальну машину, щоб зміни набули сили.

Вивантажте та підключіть ISO конфігурації HDS

Перш ніж почати

Передайте файл ISO з комп’ютера:

На лівій панелі навігації клієнта VMware vSphere клацніть сервер ESXi.
У списку обладнання на вкладці Конфігурація клацніть Зберігання .
У списку сховища даних клацніть правою кнопкою миші сховище даних для ваших віртуальних машин і клацніть Огляд сховища даних .
Клацніть значок Передати файли, а потім клацніть Передати файл .
Перейдіть до розташування, куди ви завантажили файл ISO на комп’ютер, і клацніть Відкрити .
Клацніть Так щоб прийняти попередження про операцію передавання/завантаження, і закрийте діалогове вікно сховища даних.

Підключіть файл ISO:

На лівій навігаційній панелі клієнта VMware vSphere клацніть правою кнопкою миші на віртуальній машині та натисніть Редагувати налаштування.
Клацніть OK щоб прийняти попередження про обмеження параметрів редагування.
Клацніть CD/DVD Drive 1, виберіть параметр для підключення з ISO-файлу сховища даних і перейдіть до розташування, куди ви передали ISO-файл конфігурації.
Перевірте Підключено і Підключіться після ввімкнення .
Збережіть зміни та перезавантажте віртуальну машину.

Що далі

Налаштуйте вузол HDS для інтеграції проксі

Перш ніж почати

Див Підтримка проксі для огляду підтримуваних параметрів проксі.
Вимоги до проксі-сервера

1.	Введіть URL-адресу налаштування вузла HDS `https://[HDS Node IP or FQDN]/setup` у веббраузері введіть облікові дані адміністратора, які ви налаштували для вузла, а потім клацніть Увійти .
2.	Перейти до Сховище довіри та проксі , а потім виберіть параметр: Немає проксі — Параметр за замовчуванням перед інтеграцією проксі. Оновлення сертифіката не потрібно. Прозорий проксі без перевірки —Вузли не налаштовані на використання конкретної адреси проксі-сервера й не повинні вимагати будь-яких змін для роботи з проксі-сервером, що не перевіряє. Оновлення сертифіката не потрібно. Прозорий перевіряючий проксі —Вузли не налаштовані на використання конкретної адреси проксі-сервера. У розгортанні гібридної безпеки даних змінювати конфігурацію HTTPS не потрібно, однак вузлам HDS потрібен кореневий сертифікат, щоб вони довіряли проксі. Перевірка проксі-серверів зазвичай використовується ІТ для застосування політики щодо того, які вебсайти можна відвідувати, а які типи контенту заборонені. Цей тип проксі розшифровує весь ваш трафік (навіть HTTPS). Явний проксі — За допомогою явного проксі ви вказуєте клієнту (вузли HDS), який проксі-сервер використовувати, і цей параметр підтримує кілька типів автентифікації. Після вибору цього параметра необхідно ввести таку інформацію: IP-адреса/повне доменне ім’я проксі —Адреса, яку можна використовувати для зв’язку з проксі-комплектом. Порт проксі —номер порту, який використовує проксі-сервер для прослуховування проксі-трафіку. Протокол проксі —Вибрати http (переглядає й керує всіма запитами, отриманими від клієнта) або https (надає канал до сервера, а клієнт отримує та перевіряє сертифікат сервера). Виберіть параметр залежно від того, що підтримує ваш проксі-сервер. Тип автентифікації — Виберіть один із таких типів автентифікації: Немає — подальша автентифікація не потрібна. Доступно для проксі-серверів HTTP або HTTPS. Базовий — використовується для оператора користувача HTTP для надання імені користувача та пароля під час надсилання запиту. Використовує кодування Base64. Доступно для проксі-серверів HTTP або HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Дайджест — Використовується для підтвердження облікового запису перед надсиланням конфіденційної інформації. Застосовує хеш-функцію до імені користувача та пароля перед надсиланням через мережу. Доступно лише для проксі-серверів HTTPS. Якщо ви виберете цей параметр, ви також повинні ввести ім’я користувача та пароль. Виконайте наступні кроки для проксі-сервера з перевіркою, проксі-сервера з явним доступом HTTP з базовою автентифікацією або явним проксі-сервером HTTPS.
3.	Клацніть Передати кореневий сертифікат або сертифікат кінцевого запису , а потім перейдіть до виберіть кореневий сертифікат для проксі. Сертифікат передано, але його ще не встановлено, оскільки для встановлення сертифіката необхідно перезавантажити вузол. Клацніть стрілку в формі шеврону біля імені емітента сертифіката, щоб отримати додаткову інформацію, або клацніть Видалити якщо ви зробили помилку й хочете повторно передати файл.
4.	Клацніть Перевірте підключення проксі щоб перевірити підключення до мережі між вузлом і проксі. Якщо перевірку підключення не вдалося виконати, ви побачите повідомлення про помилку, у якому буде вказано причину та способи виправлення проблеми. Якщо відображається повідомлення про помилку розв’язання зовнішнього DNS, вузлу не вдалося зв’язатися з сервером DNS. Ця умова очікується в багатьох явних конфігураціях проксі. Можна продовжити налаштування, і вузол функціонуватиме в режимі роздільної здатності заблокованого зовнішнього DNS. Якщо ви вважаєте, що це помилка, виконайте ці кроки, а потім перегляньте Вимкніть режим роздільної здатності заблокованого зовнішнього DNS .
5.	Після завершення перевірки підключення для явного проксі, установленого лише на https, увімкніть перемикач Маршрутизувати всі запити HTTPS на порт 443/444 від цього вузла через явний проксі-сервер . Це налаштування набуде чинності через 15 секунд.
6.	Клацніть Установіть усі сертифікати в сховище довіри (з’являється для явного проксі HTTPS або прозорого проксі-сервера для перевірки) або Перезавантажте (з’являється для явного проксі-сервера HTTP), прочитайте підказку, а потім клацніть Установити якщо ви готові. Вузол перезавантажиться за кілька хвилин.
7.	Після перезавантаження вузла за потреби ввійдіть ще раз, а потім відкрийте файл Огляд сторінку, щоб перевірити перевірки підключення та переконатися, що всі вони мають зелений стан. Перевірка підключення до проксі перевіряє лише субдомен webex.com. Якщо виникають проблеми з підключенням, поширеною проблемою є те, що деякі з хмарних доменів, перелічених в інструкціях зі встановлення, блокуються на проксі.

Зареєструйте перший вузол у кластері

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Увійдіть у https://admin.webex.com.
2.	У меню ліворуч на екрані виберіть Служби .
3.	У розділі Служби гібридного типу знайдіть гібридну безпеку даних і клацніть Налаштування . З’явиться сторінка Реєстрація вузла безпеки гібридних даних.
4.	Виберіть Так , щоб зазначити, що ви налаштували вузол і готові його зареєструвати, а потім клацніть Далі .
5.	У першому полі введіть ім’я кластера, якому потрібно призначити вузол гібридної безпеки даних. Рекомендовано призначати кластеру залежно від географічного розташування вузлів кластера. Приклади. "Сан-Франциско", "Нью-Йорк" або "Даллас"
6.	У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . Ця IP-адреса або повне доменне ім’я має збігатися з IP-адресою або іменем хоста й доменом, які ви використовували Налаштуйте віртуальну машину гібридної безпеки даних . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у Webex.
7.	Клацніть Перейдіть до Node .
8	Клацніть Продовжити у попередженні. Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Тут ви підтверджуєте, що хочете надати дозволи організації Webex на доступ до вашого вузла.
9	Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex.
10	Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. На Гібридна безпека даних на сторінці, відображається новий кластер, що містить зареєстрований вами вузол. Вузол автоматично завантажить останню версію програмного забезпечення з хмари.

Створіть і зареєструйте більше вузлів

Перш ніж почати

Після початку реєстрації вузла її потрібно завершити протягом 60 хвилин, інакше доведеться починати спочатку.
Переконайтеся, що блокувальники спливаючих вікон у вашому браузері вимкнено або дозволено виняток для admin.webex.com.

1.	Створіть нову віртуальну машину з OVA, повторивши кроки в Установіть OVA хоста HDS .
2.	Налаштуйте початкову конфігурацію на новій віртуальній машині, повторивши кроки в Налаштуйте віртуальну машину гібридної безпеки даних .
3.	На новій віртуальній машині повторіть кроки в Вивантажте та підключіть ISO конфігурації HDS .
4.	Якщо ви налаштовуєте проксі для свого розгортання, повторіть кроки в розділі Налаштуйте вузол HDS для інтеграції проксі за потребою для нового вузла.
5.	Зареєструйте вузол. Уhttps://admin.webex.com , виберіть Служби з меню в лівій частині екрана. У розділі Служби гібридного типу знайдіть картку безпеки гібридних даних і клацніть Ресурси . З’явиться сторінка ресурсів безпеки гібридних даних. Клацніть Додати ресурс . У першому полі виберіть ім’я наявного кластера. У другому полі введіть внутрішню IP-адресу або повне доменне ім’я (FQDN) вашого вузла та клацніть Далі . З’явиться повідомлення про те, що ви можете зареєструвати свій вузол у хмарі Webex. Клацніть Перейдіть до Node . Через кілька секунд вас буде перенаправлено до тестів підключення вузлів для служб Webex. Якщо всі тести пройшли успішно, з’явиться сторінка Дозволити доступ до вузла безпеки гібридних даних. Там ви підтверджуєте, що хочете надати дозволи вашій організації на доступ до вашого вузла. Перевірте Надайте доступ до вузла гібридної безпеки даних прапорець, а потім клацніть Продовжити . Ваш обліковий запис перевірено, і повідомлення «Реєстрацію завершено» вказує, що ваш вузол наразі зареєстровано в хмарі Webex. Клацніть посилання або закрийте вкладку, щоб повернутися на сторінку безпеки гібридних даних Control Hub. Ваш вузол зареєстровано. Зауважте, що поки ви не запустите ознайомлювальну версію, ваші вузли створять попередження, що вказує на те, що ваша служба ще не активована.

Що далі

Запустіть ознайомлювальну версію та перейдіть до робочої версії (наступний розділ)

Запустіть ознайомлювальну версію та перейдіть до робочої версії

Потік завдань із пробної версії до виробничого

Перш ніж почати