出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 机器帐户更新

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—旧密码和新密码的有效期均为10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果在您环境中 HDS 设置工具运行于代理之后,请在调出 Docker 容器时通过 Docker 环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    我们用于HDS设置工具的docker存储库于2022年12月更改为ciscocitg (之前从ciscosparkhds 更改)

    描述

    变量

    无身份验证的 HTTP 代理

    _ 席_ _ =http://SERVER_ :端口

    无身份验证的 HTTPS 代理

    _ 席_ _ =http://SERVER_ :PORT

    有身份验证的 HTTP 代理

    _ 席_ _ =http:// :PASSWORD@SERVER_ :PORT

    有身份验证的 HTTPS 代理

    _ 席_ _ =http:// :PASSWORD@SERVER_ :PORT

  • 您需要当前配置 ISO 文件的副本来生成新的配置。ISO包含用于加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-set:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-feramp:稳定

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录- u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitcit/hds-设置:稳定

    在 FedRAMP 环境中:

    docker牵引ciscocitg/hds-setup-feramp:稳定

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

       ker运行-p 8080:8080 --rm -it -e全局_ 席_ _  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP:STABLE

    • 在使用HTTPS代理的常规环境中:

       ker运行-p 8080:8080 --rm -it -e全局_ 席_ _  =HTTP://SERVER_  :PORT CISCOCITG/HDS-SETUP:STABLE

    • 在无代理的 FedRAMP 环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup-feramp:稳定

    • 在有 HTTP 代理的 FedRAMP 环境中:

        KER RUN-P 8080:8080 --RM -IT -E全局_ _ _  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP-FERAMP:STABLE

    • 在有 HTTPS 代理的 FedRAMP 环境中:

       ker run-p 8080:8080 --rm -it -e全局_ 席_ _  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP-FERAMP:STABLE

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    设置工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接到localhost。

  7. 出现提示时,输入您的Control Hub客户登录凭证,然后单击 Accept 继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

只运行一个HDS节点,请创建新的混合数据安全节点VM,并使用新的配置ISO文件注册。有关更多详细说明,请参阅 部署指南中的 创建和注册更多 节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。