出于以下原因,有时可能需要更改混合数据安全节点的配置:
  • 机器帐户更新

  • 由于过期或其他原因而需要更改 x.509 证书。


     

    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


     

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

  • 硬重设 - 旧密码立即作废。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果在您环境中 HDS 设置工具运行于代理之后,请在调出 Docker 容器时通过 Docker 环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:


     
    我们用于 HDS 设置工具的 Docker 存储库已更改为 ciscocitg 在 2022 年 12 月(从 ciscosparkhds 先前

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro
  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


     

    “设置”工具不支持通过以下方式连接到本地主机 http://localhost:8080 。 使用 http://127.0.0.1:8080 以连接到localhost。

  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

  8. 导入当前配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭设置工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅“创建并注册更多节点”于部署指南中。

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 安装更新的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

  4. 选中开机时连接

  5. 保存您的更改并打开虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。