您可能注意到某些文章显示的内容前后不一致。请原谅我们在更新站点时存在的不足之处。
cross icon
在此文章中
dropdown icon
前言
    新信息和更改信息
    dropdown icon
    混合数据安全入门
      混合数据安全概述
        dropdown icon
        安全领域体系结构
          分离领域(没有混合数据安全)
        与其他组织协作
          对部署混合数据安全的期望
            高层设置过程
              dropdown icon
              混合数据安全部署模型
                混合数据安全部署模型
              混合数据安全试验模式
                dropdown icon
                用于灾难恢复的备用数据中心
                  设置灾难恢复的备用数据中心
                代理支持
                dropdown icon
                准备您的环境
                  dropdown icon
                  混合数据安全要求
                    Cisco Webex许可证要求
                    Docker Desktop要求
                    X.509证书要求
                    虚拟主持人要求
                    数据库服务器要求
                    外部连接要求
                    代理服务器要求
                  完成混合数据安全的先决条件
                  dropdown icon
                  设置混合数据安全群集
                    混合数据安全部署任务流程
                      下载安装文件
                        为HDS主机创建配置ISO
                          安装HDS主机OVA
                            设置混合数据安全虚拟机
                              上传并挂载HDS配置ISO
                                配置用于代理集成的 HDS 节点
                                  注册集群中的第一个节点
                                    创建和注册更多节点
                                    dropdown icon
                                    运行试用并转入生产模式
                                      试用到生产任务流程
                                        激活试用
                                          测试混合数据安全部署
                                            监控混合数据安全运行状况
                                              从试用中添加或删除用户
                                                从试用过渡到生产
                                                  在不进入生产阶段的情况下结束试用
                                                  dropdown icon
                                                  管理HDS部署
                                                    管理HDS部署
                                                      设置集群升级计划
                                                        更改节点配置
                                                          关闭阻止外部 DNS 解析模式
                                                            删除节点
                                                              使用待机数据中心进行灾难恢复
                                                                (可选)在HDS配置之后卸载ISO
                                                                dropdown icon
                                                                混合数据安全疑难解答
                                                                  查看警告和故障诊断
                                                                    dropdown icon
                                                                    警告
                                                                      常见问题及其解决步骤
                                                                    混合数据安全疑难解答
                                                                    dropdown icon
                                                                    其他备注
                                                                      混合数据安全的已知问题
                                                                        使用OpenSSL生成PKCS12文件
                                                                          HDS节点和云之间的流量
                                                                            dropdown icon
                                                                            配置用于混合数据安全的 Squid 代理
                                                                              Websocket 无法通过 Squid 代理连接
                                                                          在此文章中
                                                                          cross icon
                                                                          dropdown icon
                                                                          前言
                                                                            新信息和更改信息
                                                                            dropdown icon
                                                                            混合数据安全入门
                                                                              混合数据安全概述
                                                                                dropdown icon
                                                                                安全领域体系结构
                                                                                  分离领域(没有混合数据安全)
                                                                                与其他组织协作
                                                                                  对部署混合数据安全的期望
                                                                                    高层设置过程
                                                                                      dropdown icon
                                                                                      混合数据安全部署模型
                                                                                        混合数据安全部署模型
                                                                                      混合数据安全试验模式
                                                                                        dropdown icon
                                                                                        用于灾难恢复的备用数据中心
                                                                                          设置灾难恢复的备用数据中心
                                                                                        代理支持
                                                                                        dropdown icon
                                                                                        准备您的环境
                                                                                          dropdown icon
                                                                                          混合数据安全要求
                                                                                            Cisco Webex许可证要求
                                                                                            Docker Desktop要求
                                                                                            X.509证书要求
                                                                                            虚拟主持人要求
                                                                                            数据库服务器要求
                                                                                            外部连接要求
                                                                                            代理服务器要求
                                                                                          完成混合数据安全的先决条件
                                                                                          dropdown icon
                                                                                          设置混合数据安全群集
                                                                                            混合数据安全部署任务流程
                                                                                              下载安装文件
                                                                                                为HDS主机创建配置ISO
                                                                                                  安装HDS主机OVA
                                                                                                    设置混合数据安全虚拟机
                                                                                                      上传并挂载HDS配置ISO
                                                                                                        配置用于代理集成的 HDS 节点
                                                                                                          注册集群中的第一个节点
                                                                                                            创建和注册更多节点
                                                                                                            dropdown icon
                                                                                                            运行试用并转入生产模式
                                                                                                              试用到生产任务流程
                                                                                                                激活试用
                                                                                                                  测试混合数据安全部署
                                                                                                                    监控混合数据安全运行状况
                                                                                                                      从试用中添加或删除用户
                                                                                                                        从试用过渡到生产
                                                                                                                          在不进入生产阶段的情况下结束试用
                                                                                                                          dropdown icon
                                                                                                                          管理HDS部署
                                                                                                                            管理HDS部署
                                                                                                                              设置集群升级计划
                                                                                                                                更改节点配置
                                                                                                                                  关闭阻止外部 DNS 解析模式
                                                                                                                                    删除节点
                                                                                                                                      使用待机数据中心进行灾难恢复
                                                                                                                                        (可选)在HDS配置之后卸载ISO
                                                                                                                                        dropdown icon
                                                                                                                                        混合数据安全疑难解答
                                                                                                                                          查看警告和故障诊断
                                                                                                                                            dropdown icon
                                                                                                                                            警告
                                                                                                                                              常见问题及其解决步骤
                                                                                                                                            混合数据安全疑难解答
                                                                                                                                            dropdown icon
                                                                                                                                            其他备注
                                                                                                                                              混合数据安全的已知问题
                                                                                                                                                使用OpenSSL生成PKCS12文件
                                                                                                                                                  HDS节点和云之间的流量
                                                                                                                                                    dropdown icon
                                                                                                                                                    配置用于混合数据安全的 Squid 代理
                                                                                                                                                      Websocket 无法通过 Squid 代理连接
                                                                                                                                                  Webex混合数据安全部署指南
                                                                                                                                                  list-menu在此文章中
                                                                                                                                                  前言

                                                                                                                                                  新信息和更改信息

                                                                                                                                                  日期

                                                                                                                                                  已作更改

                                                                                                                                                  2023年10月20日

                                                                                                                                                  2023年8月7日

                                                                                                                                                  2023年5月23日

                                                                                                                                                  2022年12月6日

                                                                                                                                                  2022年11月23日

                                                                                                                                                  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

                                                                                                                                                    更新了 服务器要求 主题,添加了此验证模式的其他要求。

                                                                                                                                                    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

                                                                                                                                                  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  2021年1月11日

                                                                                                                                                  添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  更新了下载安装文件

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  更新了测试混合数据安全部署以了解日志消息的更改。

                                                                                                                                                  更新了 主机要求 以删除最大主机数量。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  更新了Control Hub UI中的删除节点更改。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  更新了 主机要求 ,显示ESXi 6.5的新要求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  更新了新的美洲CI主机的外部连接要求

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  更新了有关区域CI主机的外部连接要求

                                                                                                                                                  2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
                                                                                                                                                  2020年2月4日更新了 服务器要求
                                                                                                                                                  2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下部分中添加了有关阻止的外部DNS解析模式的信息:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

                                                                                                                                                  相应更新了以下各节:


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  将SQL Server标准版添加到 服务器要求

                                                                                                                                                  2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

                                                                                                                                                  要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

                                                                                                                                                  2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
                                                                                                                                                  2019年3月6日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

                                                                                                                                                  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

                                                                                                                                                  2018年11月5日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  更改了术语以反映Cisco Spark的更名:

                                                                                                                                                  • Cisco Spark混合数据安全现为混合数据安全。

                                                                                                                                                  • Cisco Spark应用程序现在是Webex应用程序。

                                                                                                                                                  • Cisco Collaboraton Cloud现在是Webex云。

                                                                                                                                                  2018年4月11日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日

                                                                                                                                                  • 澄清HdsTrialGroup的目录同步。

                                                                                                                                                  • 修复了上传ISO配置文件以安装到VM节点的说明。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次发布

                                                                                                                                                  混合数据安全入门

                                                                                                                                                  混合数据安全概述

                                                                                                                                                  从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

                                                                                                                                                  缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

                                                                                                                                                  安全领域体系结构

                                                                                                                                                  Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

                                                                                                                                                  分离领域(没有混合数据安全)

                                                                                                                                                  为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

                                                                                                                                                  在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

                                                                                                                                                  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

                                                                                                                                                  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

                                                                                                                                                  3. 加密的消息将发送到合规性服务以进行合规性检查。

                                                                                                                                                  4. 加密消息存储在存储领域中。

                                                                                                                                                  部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

                                                                                                                                                  与其他组织协作

                                                                                                                                                  组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

                                                                                                                                                  在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

                                                                                                                                                  对部署混合数据安全的期望

                                                                                                                                                  混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

                                                                                                                                                  要部署混合数据安全,您必须提供:

                                                                                                                                                  完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

                                                                                                                                                  • 管理数据库和配置ISO的备份和恢复。

                                                                                                                                                  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


                                                                                                                                                   

                                                                                                                                                  在HDS部署后,没有将密钥移回云的机制。

                                                                                                                                                  高层设置过程

                                                                                                                                                  本文档介绍了混合数据安全部署的设置和管理:

                                                                                                                                                  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

                                                                                                                                                    设置、试验和生产阶段将在接下来的三章中详细介绍。

                                                                                                                                                  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

                                                                                                                                                  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

                                                                                                                                                  在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

                                                                                                                                                  群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

                                                                                                                                                  当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

                                                                                                                                                  我们只支持每个组织一个集群。

                                                                                                                                                  混合数据安全试验模式

                                                                                                                                                  设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

                                                                                                                                                  如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

                                                                                                                                                  如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

                                                                                                                                                  用于灾难恢复的备用数据中心

                                                                                                                                                  在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手动故障转移到待机数据中心

                                                                                                                                                  活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


                                                                                                                                                   

                                                                                                                                                  活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

                                                                                                                                                  设置灾难恢复的备用数据中心

                                                                                                                                                  按照以下步骤配置备用数据中心的ISO文件:

                                                                                                                                                  准备工作

                                                                                                                                                  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

                                                                                                                                                  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


                                                                                                                                                   

                                                                                                                                                  ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

                                                                                                                                                  下一步

                                                                                                                                                  配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

                                                                                                                                                  代理支持

                                                                                                                                                  混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

                                                                                                                                                  混合数据安全节点支持以下代理选项:

                                                                                                                                                  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

                                                                                                                                                  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

                                                                                                                                                  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

                                                                                                                                                    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

                                                                                                                                                    2. 代理端口 - 代理用来侦听代理流量的端口号。

                                                                                                                                                    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

                                                                                                                                                      • HTTP - 查看和控制客户端发送的所有请求。

                                                                                                                                                      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

                                                                                                                                                    4. 验证类型 - 从以下验证类型中进行选择:

                                                                                                                                                      • - 无需进一步验证。

                                                                                                                                                        在选择 HTTP 或 HTTPS 作为代理协议时可用。

                                                                                                                                                      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

                                                                                                                                                        在选择 HTTP 或 HTTPS 作为代理协议时可用。

                                                                                                                                                        要求您在每个节点上输入用户名和密码。

                                                                                                                                                      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

                                                                                                                                                        仅当您选择 HTTPS 作为代理协议时可用。

                                                                                                                                                        要求您在每个节点上输入用户名和密码。

                                                                                                                                                  混合数据安全节点和代理的示例

                                                                                                                                                  此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

                                                                                                                                                  阻止外部 DNS 解析模式(显式代理配置)

                                                                                                                                                  当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

                                                                                                                                                  准备您的环境

                                                                                                                                                  混合数据安全要求

                                                                                                                                                  Cisco Webex许可证要求

                                                                                                                                                  要部署混合数据安全:

                                                                                                                                                  Docker Desktop要求

                                                                                                                                                  安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

                                                                                                                                                  X.509证书要求

                                                                                                                                                  证书链必须满足以下要求:

                                                                                                                                                  表 1. 混合数据安全部署的X.509证书要求

                                                                                                                                                  要求

                                                                                                                                                  详细信息

                                                                                                                                                  • 由受信任的证书颁发机构(CA)签名

                                                                                                                                                  默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 标识混合数据安全部署的公用名(CN)域名

                                                                                                                                                  • 不是通配符证书

                                                                                                                                                  CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

                                                                                                                                                  CN不能包含*(通配符)。

                                                                                                                                                  CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

                                                                                                                                                  • 非SHA1签名

                                                                                                                                                  KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

                                                                                                                                                  • 格式化为受密码保护的PKCS #12文件

                                                                                                                                                  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

                                                                                                                                                  您可以使用转换器(例如OpenSSL)来更改证书的格式。

                                                                                                                                                  运行HDS设置工具时,您需要输入密码。

                                                                                                                                                  KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

                                                                                                                                                  虚拟主持人要求

                                                                                                                                                  您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

                                                                                                                                                  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

                                                                                                                                                  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


                                                                                                                                                     

                                                                                                                                                    如果您有较早版本的ESXi,则必须升级。

                                                                                                                                                  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

                                                                                                                                                  数据库服务器要求


                                                                                                                                                   

                                                                                                                                                  创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

                                                                                                                                                  数据库服务器有两个选项。 每一项的要求如下:

                                                                                                                                                  表 2. 按数据库类型划分的数据库服务器要求

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14、15或16,已安装并运行。

                                                                                                                                                  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

                                                                                                                                                  至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

                                                                                                                                                  至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

                                                                                                                                                  HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC驱动程序42.2.5

                                                                                                                                                  SQL Server JDBC驱动程序4.6

                                                                                                                                                  此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

                                                                                                                                                  针对Microsoft SQL Server进行Windows验证的其他要求

                                                                                                                                                  如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

                                                                                                                                                  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

                                                                                                                                                  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

                                                                                                                                                  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

                                                                                                                                                  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

                                                                                                                                                    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

                                                                                                                                                  外部连接要求

                                                                                                                                                  配置防火墙以允许HDS应用程序的以下连接:

                                                                                                                                                  应用程序

                                                                                                                                                  协议

                                                                                                                                                  端口

                                                                                                                                                  应用程序的方向

                                                                                                                                                  目标位置

                                                                                                                                                  混合数据安全节点

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出站HTTPS和WSS

                                                                                                                                                  HDS设置工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出站HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用标识主机

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

                                                                                                                                                  通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

                                                                                                                                                  地区

                                                                                                                                                  通用标识主机URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  欧盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  代理服务器要求

                                                                                                                                                  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

                                                                                                                                                    • 透明代理 - Cisco Web 安全设备 (WSA)。

                                                                                                                                                    • 显式代理 - Squid。


                                                                                                                                                       

                                                                                                                                                      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

                                                                                                                                                  • 我们支持显式代理的以下验证类型组合:

                                                                                                                                                    • 不进行 HTTP 或 HTTPS 验证

                                                                                                                                                    • 进行 HTTP 或 HTTPS 基本验证

                                                                                                                                                    • 仅进行 HTTPS 摘要验证

                                                                                                                                                  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

                                                                                                                                                  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

                                                                                                                                                  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

                                                                                                                                                  完成混合数据安全的先决条件

                                                                                                                                                  使用此核对表来确保您已准备好安装和配置混合数据安全群集。
                                                                                                                                                  1

                                                                                                                                                  确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

                                                                                                                                                  2

                                                                                                                                                  为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

                                                                                                                                                  3

                                                                                                                                                  准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

                                                                                                                                                  4

                                                                                                                                                  根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

                                                                                                                                                  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

                                                                                                                                                  2. 收集节点用于与数据库服务器通信的详细信息:

                                                                                                                                                    • 主机名称或IP地址(主机)和端口

                                                                                                                                                    • 用于密钥存储的数据库名称(dbname)

                                                                                                                                                    • 具有密钥存储数据库所有权限的用户的用户名和密码

                                                                                                                                                  5

                                                                                                                                                  为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

                                                                                                                                                  6

                                                                                                                                                  设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


                                                                                                                                                   

                                                                                                                                                  由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

                                                                                                                                                  Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

                                                                                                                                                  8

                                                                                                                                                  确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

                                                                                                                                                  9

                                                                                                                                                  在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

                                                                                                                                                  要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

                                                                                                                                                  10

                                                                                                                                                  如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

                                                                                                                                                  11

                                                                                                                                                  如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


                                                                                                                                                   

                                                                                                                                                  给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

                                                                                                                                                  设置混合数据安全群集

                                                                                                                                                  混合数据安全部署任务流程

                                                                                                                                                  准备工作

                                                                                                                                                  准备您的环境

                                                                                                                                                  1

                                                                                                                                                  下载安装文件

                                                                                                                                                  将OVA文件下载到本地计算机以供后续使用。

                                                                                                                                                  2

                                                                                                                                                  为HDS主机创建配置ISO

                                                                                                                                                  使用HDS设置工具为混合数据安全节点创建ISO配置文件。

                                                                                                                                                  3

                                                                                                                                                  安装HDS主机OVA

                                                                                                                                                  从OVA文件创建虚拟机并执行初始配置,例如网络设置。


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  设置混合数据安全虚拟机

                                                                                                                                                  登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

                                                                                                                                                  5

                                                                                                                                                  上传并挂载HDS配置ISO

                                                                                                                                                  从使用HDS设置工具创建的ISO配置文件配置VM。

                                                                                                                                                  6

                                                                                                                                                  配置用于代理集成的 HDS 节点

                                                                                                                                                  如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

                                                                                                                                                  7

                                                                                                                                                  注册集群中的第一个节点

                                                                                                                                                  向Cisco Webex云注册VM作为混合数据安全节点。

                                                                                                                                                  8

                                                                                                                                                  创建和注册更多节点

                                                                                                                                                  完成群集设置。

                                                                                                                                                  9

                                                                                                                                                  运行试用并进入生产 阶段(下一章)

                                                                                                                                                  在开始试用之前,节点会生成警报,指示您的服务尚未激活。

                                                                                                                                                  下载安装文件

                                                                                                                                                  在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
                                                                                                                                                  1

                                                                                                                                                  登录 https://admin.webex.com,然后单击 服务

                                                                                                                                                  2

                                                                                                                                                  在“混合服务”部分,找到混合数据安全卡,然后单击设置

                                                                                                                                                  如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


                                                                                                                                                   

                                                                                                                                                  您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


                                                                                                                                                   

                                                                                                                                                  旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

                                                                                                                                                  3

                                                                                                                                                  选择表示您尚未设置节点,然后单击下一步

                                                                                                                                                  OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
                                                                                                                                                  4

                                                                                                                                                  或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

                                                                                                                                                  为HDS主机创建配置ISO

                                                                                                                                                  混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

                                                                                                                                                  准备工作

                                                                                                                                                  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

                                                                                                                                                    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

                                                                                                                                                    描述

                                                                                                                                                    变量

                                                                                                                                                    无身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    无身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

                                                                                                                                                    • 数据库凭证

                                                                                                                                                    • 证书更新

                                                                                                                                                    • 授权策略更改

                                                                                                                                                  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

                                                                                                                                                  1

                                                                                                                                                  在机器命令行中输入适用于您环境的命令:

                                                                                                                                                  在常规环境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 环境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

                                                                                                                                                  2

                                                                                                                                                  要登录 Docker 映像注册表,请输入以下内容:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密码提示下,输入以下哈希:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下载适用于您环境的最新稳定映像:

                                                                                                                                                  在常规环境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 环境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  拉取完成后,输入适用于您环境的命令:

                                                                                                                                                  • 在无代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在有 HTTP 代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在有 HTTPS 代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在无代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在有 HTTP 代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在有 HTTPS 代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

                                                                                                                                                  使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

                                                                                                                                                  该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

                                                                                                                                                  7

                                                                                                                                                  出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

                                                                                                                                                  8

                                                                                                                                                  在Setup Tool概述页面上,单击 Get Started

                                                                                                                                                  9

                                                                                                                                                  ISO导入页面上,您有以下选项:

                                                                                                                                                  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
                                                                                                                                                  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
                                                                                                                                                  10

                                                                                                                                                  检查您的X.509证书是否符合X.509证书要求中的要求。

                                                                                                                                                  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
                                                                                                                                                  • 如果证书确定,请单击继续
                                                                                                                                                  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
                                                                                                                                                  11

                                                                                                                                                  输入HDS的数据库地址和帐户以访问您的密钥数据存储:

                                                                                                                                                  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

                                                                                                                                                    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

                                                                                                                                                  2. (仅Microsoft SQL Server)选择您的验证类型

                                                                                                                                                    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

                                                                                                                                                    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

                                                                                                                                                  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    例如:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

                                                                                                                                                    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

                                                                                                                                                  4. 输入数据库名称

                                                                                                                                                  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

                                                                                                                                                  12

                                                                                                                                                  选择 <UNK> LS数据库连接模式

                                                                                                                                                  模式

                                                                                                                                                  描述

                                                                                                                                                  首选 TLS(缺省选项)

                                                                                                                                                  HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

                                                                                                                                                  需要 TLS

                                                                                                                                                  仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  需要 TLS 并验证证书签名者


                                                                                                                                                   

                                                                                                                                                  此模式不适用于SQL Server数据库。

                                                                                                                                                  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

                                                                                                                                                  使用下拉列表下的数据库根证书控件上传该选项的根证书。

                                                                                                                                                  需要 TLS 并验证证书签名者和主机名

                                                                                                                                                  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

                                                                                                                                                  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

                                                                                                                                                  使用下拉列表下的数据库根证书控件上传该选项的根证书。

                                                                                                                                                  上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

                                                                                                                                                  13

                                                                                                                                                  在“系统日志”页面上,配置您的Sy 服务器:

                                                                                                                                                  1. 输入系统日志服务器URL。

                                                                                                                                                    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

                                                                                                                                                    例如:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
                                                                                                                                                  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

                                                                                                                                                    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

                                                                                                                                                    • 字节为空-- \x00

                                                                                                                                                    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

                                                                                                                                                  4. 单击继续

                                                                                                                                                  14

                                                                                                                                                  (可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  单击重置服务帐户密码屏幕上的继续

                                                                                                                                                  服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

                                                                                                                                                  16

                                                                                                                                                  单击 ISO文件。 将文件保存在易于查找的位置。

                                                                                                                                                  17

                                                                                                                                                  在本地系统上备份ISO文件。

                                                                                                                                                  确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  18

                                                                                                                                                  要关闭设置工具,请键入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


                                                                                                                                                   

                                                                                                                                                  我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

                                                                                                                                                  安装HDS主机OVA

                                                                                                                                                  使用此过程从OVA文件创建虚拟机。
                                                                                                                                                  1

                                                                                                                                                  使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

                                                                                                                                                  2

                                                                                                                                                  选择“文件 > 部署 OVF 模板”。

                                                                                                                                                  3

                                                                                                                                                  在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

                                                                                                                                                  4

                                                                                                                                                  选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

                                                                                                                                                  5

                                                                                                                                                  计算资源 页,选择目标计算资源,然后单击 下一步

                                                                                                                                                  运行验证检查。 完成后,将显示模板详细信息。

                                                                                                                                                  6

                                                                                                                                                  验证模板详细信息,然后单击下一步

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

                                                                                                                                                  8

                                                                                                                                                  存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

                                                                                                                                                  9

                                                                                                                                                  网络 页,从条目列表中选择网络选项以提供所需的VM连接。

                                                                                                                                                  10

                                                                                                                                                  自定义模板页面上,配置以下网络设置:

                                                                                                                                                  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

                                                                                                                                                     
                                                                                                                                                    • 您无需将域设置为与用于获取X.509证书的域匹配。

                                                                                                                                                    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

                                                                                                                                                    • FQDN 的总长度绝不得超过 64 个字符。

                                                                                                                                                  • IP地址 -输入节点内部接口的IP地址。

                                                                                                                                                     

                                                                                                                                                    节点应具有内部IP地址和DNS名称。 不支持DHCP。

                                                                                                                                                  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
                                                                                                                                                  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
                                                                                                                                                  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
                                                                                                                                                  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。
                                                                                                                                                  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

                                                                                                                                                  如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  右键单击节点虚拟机,然后选择 >

                                                                                                                                                  混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

                                                                                                                                                  疑难解答提示

                                                                                                                                                  在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

                                                                                                                                                  设置混合数据安全虚拟机

                                                                                                                                                  此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

                                                                                                                                                  1

                                                                                                                                                  在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

                                                                                                                                                  VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
                                                                                                                                                  2

                                                                                                                                                  使用以下缺省登录和密码登录并更改凭证:

                                                                                                                                                  1. 登录名: admin

                                                                                                                                                  2. 密码: cisco

                                                                                                                                                  由于您是首次登录VM,您需要更改管理员密码。

                                                                                                                                                  3

                                                                                                                                                  如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

                                                                                                                                                  4

                                                                                                                                                  使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

                                                                                                                                                  5

                                                                                                                                                  (可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

                                                                                                                                                  您无需将域设置为与用于获取X.509证书的域匹配。

                                                                                                                                                  6

                                                                                                                                                  保存网络配置并重启虚拟机,使更改生效。

                                                                                                                                                  上传并挂载HDS配置ISO

                                                                                                                                                  此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

                                                                                                                                                  准备工作

                                                                                                                                                  由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

                                                                                                                                                  1

                                                                                                                                                  从您的计算机上传ISO文件:

                                                                                                                                                  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

                                                                                                                                                  2. 在配置标签页的硬件列表中,单击存储空间

                                                                                                                                                  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

                                                                                                                                                  4. 单击“上传文件”图标,然后单击“上传文件”

                                                                                                                                                  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

                                                                                                                                                  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

                                                                                                                                                  2

                                                                                                                                                  安装ISO文件:

                                                                                                                                                  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

                                                                                                                                                  2. 单击 确定以接受限制编辑选项警告。

                                                                                                                                                  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

                                                                                                                                                  4. 检查已连接接通电源时连接

                                                                                                                                                  5. 保存更改并重新启动虚拟机。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  配置用于代理集成的 HDS 节点

                                                                                                                                                  如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

                                                                                                                                                  准备工作

                                                                                                                                                  1

                                                                                                                                                  输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

                                                                                                                                                  2

                                                                                                                                                  转至信任库和代理,然后选择一个选项:

                                                                                                                                                  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
                                                                                                                                                  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
                                                                                                                                                  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:
                                                                                                                                                    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

                                                                                                                                                    2. 代理端口 - 代理用来侦听代理流量的端口号。

                                                                                                                                                    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

                                                                                                                                                    4. 验证类型 - 从以下验证类型中进行选择:

                                                                                                                                                      • - 无需进一步验证。

                                                                                                                                                        适用于 HTTP 或 HTTPS 代理。

                                                                                                                                                      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

                                                                                                                                                        适用于 HTTP 或 HTTPS 代理。

                                                                                                                                                        如果选择此选项,还必须输入用户名和密码。

                                                                                                                                                      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

                                                                                                                                                        仅适用于 HTTPS 代理。

                                                                                                                                                        如果选择此选项,还必须输入用户名和密码。

                                                                                                                                                  按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

                                                                                                                                                  3

                                                                                                                                                  单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

                                                                                                                                                  证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

                                                                                                                                                  4

                                                                                                                                                  单击检查代理连接以测试节点和代理服务器之间的网络连接。

                                                                                                                                                  如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

                                                                                                                                                  如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

                                                                                                                                                  5

                                                                                                                                                  在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

                                                                                                                                                  节点在几分钟内重启。

                                                                                                                                                  7

                                                                                                                                                  节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

                                                                                                                                                  代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

                                                                                                                                                  注册集群中的第一个节点

                                                                                                                                                  此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

                                                                                                                                                  注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

                                                                                                                                                  准备工作

                                                                                                                                                  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

                                                                                                                                                  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

                                                                                                                                                  1

                                                                                                                                                  登录到 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  从屏幕左侧的菜单中选择“服务”。

                                                                                                                                                  3

                                                                                                                                                  在“混合服务”部分,找到混合数据安全,然后单击设置

                                                                                                                                                  出现注册混合数据安全节点页。
                                                                                                                                                  4

                                                                                                                                                  选择表示您已设置节点并准备好注册,然后单击下一步

                                                                                                                                                  5

                                                                                                                                                  在第一个字段中,输入要分配混合数据安全节点的集群的名称。

                                                                                                                                                  建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

                                                                                                                                                  6

                                                                                                                                                  在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

                                                                                                                                                  此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

                                                                                                                                                  出现一条消息,表示您可以将节点注册到Webex。
                                                                                                                                                  7

                                                                                                                                                  单击转至节点。

                                                                                                                                                  8

                                                                                                                                                  单击警告消息中的继续。

                                                                                                                                                  片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
                                                                                                                                                  9

                                                                                                                                                  选中允许访问您的混合数据安全节点复选框,然后单击继续

                                                                                                                                                  您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
                                                                                                                                                  10

                                                                                                                                                  单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

                                                                                                                                                  混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

                                                                                                                                                  创建和注册更多节点

                                                                                                                                                  要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

                                                                                                                                                   

                                                                                                                                                  目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

                                                                                                                                                  准备工作

                                                                                                                                                  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

                                                                                                                                                  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

                                                                                                                                                  1

                                                                                                                                                  从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

                                                                                                                                                  2

                                                                                                                                                  在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

                                                                                                                                                  4

                                                                                                                                                  如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

                                                                                                                                                  5

                                                                                                                                                  注册节点。

                                                                                                                                                  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

                                                                                                                                                  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

                                                                                                                                                    出现“混合数据安全资源”页。
                                                                                                                                                  3. 单击添加资源

                                                                                                                                                  4. 在第一个字段中,选择现有集群的名称。

                                                                                                                                                  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

                                                                                                                                                    出现一条消息,表示您可以将节点注册到Webex云。
                                                                                                                                                  6. 单击转至节点。

                                                                                                                                                    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。
                                                                                                                                                  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

                                                                                                                                                    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
                                                                                                                                                  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

                                                                                                                                                  节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

                                                                                                                                                  下一步

                                                                                                                                                  运行试用并进入生产 阶段(下一章)
                                                                                                                                                  运行试用并转入生产模式

                                                                                                                                                  试用到生产任务流程

                                                                                                                                                  设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

                                                                                                                                                  1

                                                                                                                                                  如果适用,同步 HdsTrialGroup 组对象。

                                                                                                                                                  如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

                                                                                                                                                  2

                                                                                                                                                  激活试用

                                                                                                                                                  开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

                                                                                                                                                  3

                                                                                                                                                  测试混合数据安全部署

                                                                                                                                                  检查关键请求是否传递给您的混合数据安全部署。

                                                                                                                                                  4

                                                                                                                                                  监控混合数据安全运行状况

                                                                                                                                                  检查状态并设置警报的电子邮件通知。

                                                                                                                                                  5

                                                                                                                                                  从试用中添加或删除用户

                                                                                                                                                  6

                                                                                                                                                  通过以下操作之一完成试验阶段:

                                                                                                                                                  激活试用

                                                                                                                                                  准备工作

                                                                                                                                                  如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

                                                                                                                                                  1

                                                                                                                                                  登录 https://admin.webex.com,然后选择 服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“服务状态”部分,单击开始试用

                                                                                                                                                  服务状态将更改为试用模式。
                                                                                                                                                  4

                                                                                                                                                  单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

                                                                                                                                                  (如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

                                                                                                                                                  测试混合数据安全部署

                                                                                                                                                  此程序用于测试混合数据安全加密方案。

                                                                                                                                                  准备工作

                                                                                                                                                  • 设置混合数据安全部署。

                                                                                                                                                  • 激活试用并添加多个试用用户。

                                                                                                                                                  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

                                                                                                                                                  1

                                                                                                                                                  给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


                                                                                                                                                   

                                                                                                                                                  如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

                                                                                                                                                  2

                                                                                                                                                  将消息发送到新空间。

                                                                                                                                                  3

                                                                                                                                                  检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

                                                                                                                                                  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    您应该找到如下条目(为便于阅读而缩写的标识符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  监控混合数据安全运行状况

                                                                                                                                                  Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
                                                                                                                                                  1

                                                                                                                                                  Control Hub中,从屏幕左侧的菜单中选择服务

                                                                                                                                                  2

                                                                                                                                                  在“混合服务”部分,找到混合数据安全,然后单击设置

                                                                                                                                                  出现“混合数据安全设置”页。
                                                                                                                                                  3

                                                                                                                                                  在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

                                                                                                                                                  从试用中添加或删除用户

                                                                                                                                                  在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

                                                                                                                                                  如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

                                                                                                                                                  如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

                                                                                                                                                  4

                                                                                                                                                  输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

                                                                                                                                                  从试用过渡到生产

                                                                                                                                                  当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在Service Status部分,单击 Move to Production

                                                                                                                                                  4

                                                                                                                                                  确认您要将所有用户移至生产模式。

                                                                                                                                                  在不进入生产阶段的情况下结束试用

                                                                                                                                                  在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“停用”区域中,单击停用

                                                                                                                                                  4

                                                                                                                                                  确认您要停用服务并结束试用。

                                                                                                                                                  管理HDS部署

                                                                                                                                                  管理HDS部署

                                                                                                                                                  使用此处描述的任务来管理混合数据安全部署。

                                                                                                                                                  设置集群升级计划

                                                                                                                                                  混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

                                                                                                                                                  要设置升级安排:

                                                                                                                                                  1

                                                                                                                                                  登录到 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在“概述”页面上的混合服务下,选择混合数据安全

                                                                                                                                                  3

                                                                                                                                                  在“混合数据安全资源”页上,选择群集。

                                                                                                                                                  4

                                                                                                                                                  在右侧“概述”面板中的“集群设置”下,选择集群名称。

                                                                                                                                                  5

                                                                                                                                                  在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

                                                                                                                                                  注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

                                                                                                                                                  更改节点配置

                                                                                                                                                  出于以下原因,有时可能需要更改混合数据安全节点的配置:
                                                                                                                                                  • 由于过期或其他原因而需要更改 x.509 证书。


                                                                                                                                                     

                                                                                                                                                    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

                                                                                                                                                  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


                                                                                                                                                     

                                                                                                                                                    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

                                                                                                                                                  • 创建新配置,以准备新的数据中心。

                                                                                                                                                  此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

                                                                                                                                                  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

                                                                                                                                                  • 硬重设 - 旧密码立即作废。

                                                                                                                                                  如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

                                                                                                                                                  使用此过程以生成新的配置 ISO 文件并将其应用于集群。

                                                                                                                                                  准备工作

                                                                                                                                                  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

                                                                                                                                                    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

                                                                                                                                                    描述

                                                                                                                                                    变量

                                                                                                                                                    无身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    无身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

                                                                                                                                                  1

                                                                                                                                                  使用本地计算机上的 Docker 运行 HDS 设置工具。

                                                                                                                                                  1. 在机器命令行中输入适用于您环境的命令:

                                                                                                                                                    在常规环境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 环境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

                                                                                                                                                  2. 要登录 Docker 映像注册表,请输入以下内容:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密码提示下,输入以下哈希:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下载适用于您环境的最新稳定映像:

                                                                                                                                                    在常规环境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 环境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

                                                                                                                                                  5. 拉取完成后,输入适用于您环境的命令:

                                                                                                                                                    • 在无代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在有 HTTP 代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在有 HTTPS 代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在无代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在有 HTTP 代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在有 HTTPS 代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

                                                                                                                                                  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

                                                                                                                                                  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

                                                                                                                                                  8. 导入当前配置 ISO 文件。

                                                                                                                                                  9. 根据提示完成工具并下载更新后的文件。

                                                                                                                                                    要关闭设置工具,请键入 CTRL+C

                                                                                                                                                  10. 在另一个数据中心为更新的文件创建备份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

                                                                                                                                                  1. 安装 HDS 主机 OVA。

                                                                                                                                                  2. 设置 HDS VM。

                                                                                                                                                  3. 安装更新的配置文件。

                                                                                                                                                  4. 在 Control Hub 中注册新节点。

                                                                                                                                                  3

                                                                                                                                                  对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

                                                                                                                                                  1. 关闭虚拟机。

                                                                                                                                                  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

                                                                                                                                                  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

                                                                                                                                                  4. 选中开机时连接

                                                                                                                                                  5. 保存您的更改并打开虚拟机。

                                                                                                                                                  4

                                                                                                                                                  重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

                                                                                                                                                  关闭阻止外部 DNS 解析模式

                                                                                                                                                  当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

                                                                                                                                                  如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

                                                                                                                                                  准备工作

                                                                                                                                                  确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
                                                                                                                                                  1

                                                                                                                                                  在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

                                                                                                                                                  2

                                                                                                                                                  转至概述(缺省页面)。

                                                                                                                                                  启用后,阻止外部 DNS 解析会设置为

                                                                                                                                                  3

                                                                                                                                                  转至信任库和代理页面。

                                                                                                                                                  4

                                                                                                                                                  单击检查代理连接

                                                                                                                                                  如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

                                                                                                                                                  下一步

                                                                                                                                                  在混合数据安全集群中的每个节点上重复代理连接测试。

                                                                                                                                                  删除节点

                                                                                                                                                  使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
                                                                                                                                                  1

                                                                                                                                                  使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

                                                                                                                                                  2

                                                                                                                                                  删除节点:

                                                                                                                                                  1. 登录Control Hub,然后选择服务

                                                                                                                                                  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

                                                                                                                                                  3. 选择簇以显示其概述面板。

                                                                                                                                                  4. 单击 节点列表

                                                                                                                                                  5. 在“节点”选项卡上,选择要删除的节点。

                                                                                                                                                  6. 单击 > 注册节点

                                                                                                                                                  3

                                                                                                                                                  在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

                                                                                                                                                  如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

                                                                                                                                                  使用待机数据中心进行灾难恢复

                                                                                                                                                  混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

                                                                                                                                                  由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

                                                                                                                                                  如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

                                                                                                                                                  下一步

                                                                                                                                                  故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

                                                                                                                                                  (可选)在HDS配置之后卸载ISO

                                                                                                                                                  标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

                                                                                                                                                  您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

                                                                                                                                                  准备工作

                                                                                                                                                  将所有HDS节点升级到版本2021.01.22.4720或更高版本。

                                                                                                                                                  1

                                                                                                                                                  关闭其中一个HDS节点。

                                                                                                                                                  2

                                                                                                                                                  在vCenter Server 中,选择HDS节点。

                                                                                                                                                  3

                                                                                                                                                  选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

                                                                                                                                                  4

                                                                                                                                                  打开HDS节点电源,并确保至少20分钟内没有警报。

                                                                                                                                                  5

                                                                                                                                                  对每个HDS节点依次重复。

                                                                                                                                                  混合数据安全疑难解答

                                                                                                                                                  查看警告和故障诊断

                                                                                                                                                  如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

                                                                                                                                                  • 无法创建新空间(无法创建新密钥)

                                                                                                                                                  • 消息和空间标题无法解密:

                                                                                                                                                    • 添加到空间的新用户(无法获取密钥)

                                                                                                                                                    • 空间中使用新客户端的现有用户(无法获取密钥)

                                                                                                                                                  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

                                                                                                                                                  请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

                                                                                                                                                  警告

                                                                                                                                                  如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

                                                                                                                                                  表 1. 常见问题及其解决步骤

                                                                                                                                                  预警

                                                                                                                                                  操作

                                                                                                                                                  本地数据库访问失败。

                                                                                                                                                  检查数据库错误或本地网络问题。

                                                                                                                                                  本地数据库连接失败。

                                                                                                                                                  检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

                                                                                                                                                  云服务访问失败。

                                                                                                                                                  检查节点是否可以按 连接要求 Webex服务器。

                                                                                                                                                  续订云服务注册。

                                                                                                                                                  云服务的注册已取消。 正在续订注册。

                                                                                                                                                  云服务注册已断开。

                                                                                                                                                  云服务的注册已终止。 服务正在关闭。

                                                                                                                                                  服务尚未激活。

                                                                                                                                                  激活试用或完成将试用转入生产阶段。

                                                                                                                                                  配置的域与服务器证书不匹配。

                                                                                                                                                  确保服务器证书与配置的服务激活域匹配。

                                                                                                                                                  最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

                                                                                                                                                  向云服务验证失败。

                                                                                                                                                  检查服务帐户凭证的准确性和可能的过期时间。

                                                                                                                                                  打开本地密钥库文件失败。

                                                                                                                                                  检查本地密钥库文件的完整性和密码准确性。

                                                                                                                                                  本地服务器证书无效。

                                                                                                                                                  检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

                                                                                                                                                  无法发布指标。

                                                                                                                                                  检查外部云服务的本地网络访问。

                                                                                                                                                  /media/configdrive/hds目录不存在。

                                                                                                                                                  检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

                                                                                                                                                  混合数据安全疑难解答

                                                                                                                                                  对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
                                                                                                                                                  1

                                                                                                                                                  查看Control Hub中的任何警告并修复您在此处找到的任何项目。

                                                                                                                                                  2

                                                                                                                                                  查看来自混合数据安全部署的系统日志服务器输出的活动。

                                                                                                                                                  3

                                                                                                                                                  请联系思科支持人员

                                                                                                                                                  其他备注

                                                                                                                                                  混合数据安全的已知问题

                                                                                                                                                  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

                                                                                                                                                  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

                                                                                                                                                    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

                                                                                                                                                  使用OpenSSL生成PKCS12文件

                                                                                                                                                  准备工作

                                                                                                                                                  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

                                                                                                                                                  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

                                                                                                                                                  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

                                                                                                                                                  • 创建私有密钥。

                                                                                                                                                  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

                                                                                                                                                  1

                                                                                                                                                  当您从CA收到服务器证书时,将其另存为 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  将证书显示为文本并验证详细信息。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用友好名称创建。p12文件 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  检查服务器证书详细信息。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

                                                                                                                                                    例如:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


                                                                                                                                                   

                                                                                                                                                  在原始证书过期时,您可以重复使用这些文件以请求新证书。

                                                                                                                                                  HDS节点和云之间的流量

                                                                                                                                                  出站指标收集流量

                                                                                                                                                  混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

                                                                                                                                                  入站流量

                                                                                                                                                  混合数据安全节点从Webex云接收以下类型的入站流量:

                                                                                                                                                  • 来自客户端的加密请求,由加密服务路由

                                                                                                                                                  • 升级到节点软件

                                                                                                                                                  配置用于混合数据安全的 Squid 代理

                                                                                                                                                  Websocket 无法通过 Squid 代理连接

                                                                                                                                                  检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  添加 on_unsupported_protocol 指令至 squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新信息和更改信息

                                                                                                                                                  日期

                                                                                                                                                  已作更改

                                                                                                                                                  2023年10月20日

                                                                                                                                                  2023年8月7日

                                                                                                                                                  2023年5月23日

                                                                                                                                                  2022年12月6日

                                                                                                                                                  2022年11月23日

                                                                                                                                                  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

                                                                                                                                                    更新了 服务器要求 主题,添加了此验证模式的其他要求。

                                                                                                                                                    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

                                                                                                                                                  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  2021年1月11日

                                                                                                                                                  添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  更新了下载安装文件

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  更新了测试混合数据安全部署以了解日志消息的更改。

                                                                                                                                                  更新了 主机要求 以删除最大主机数量。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  更新了Control Hub UI中的删除节点更改。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  更新了 主机要求 ,显示ESXi 6.5的新要求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  更新了新的美洲CI主机的外部连接要求

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  更新了有关区域CI主机的外部连接要求

                                                                                                                                                  2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
                                                                                                                                                  2020年2月4日更新了 服务器要求
                                                                                                                                                  2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下部分中添加了有关阻止的外部DNS解析模式的信息:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

                                                                                                                                                  相应更新了以下各节:


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  将SQL Server标准版添加到 服务器要求

                                                                                                                                                  2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

                                                                                                                                                  要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

                                                                                                                                                  2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
                                                                                                                                                  2019年3月6日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

                                                                                                                                                  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

                                                                                                                                                  2018年11月5日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  更改了术语以反映Cisco Spark的更名:

                                                                                                                                                  • Cisco Spark混合数据安全现为混合数据安全。

                                                                                                                                                  • Cisco Spark应用程序现在是Webex应用程序。

                                                                                                                                                  • Cisco Collaboraton Cloud现在是Webex云。

                                                                                                                                                  2018年4月11日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日

                                                                                                                                                  • 澄清HdsTrialGroup的目录同步。

                                                                                                                                                  • 修复了上传ISO配置文件以安装到VM节点的说明。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次发布

                                                                                                                                                  混合数据安全入门

                                                                                                                                                  混合数据安全概述

                                                                                                                                                  从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

                                                                                                                                                  缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

                                                                                                                                                  安全领域体系结构

                                                                                                                                                  Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

                                                                                                                                                  分离领域(没有混合数据安全)

                                                                                                                                                  为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

                                                                                                                                                  在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

                                                                                                                                                  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

                                                                                                                                                  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

                                                                                                                                                  3. 加密的消息将发送到合规性服务以进行合规性检查。

                                                                                                                                                  4. 加密消息存储在存储领域中。

                                                                                                                                                  部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

                                                                                                                                                  与其他组织协作

                                                                                                                                                  组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

                                                                                                                                                  在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

                                                                                                                                                  对部署混合数据安全的期望

                                                                                                                                                  混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

                                                                                                                                                  要部署混合数据安全,您必须提供:

                                                                                                                                                  完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

                                                                                                                                                  • 管理数据库和配置ISO的备份和恢复。

                                                                                                                                                  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


                                                                                                                                                   

                                                                                                                                                  在HDS部署后,没有将密钥移回云的机制。

                                                                                                                                                  高层设置过程

                                                                                                                                                  本文档介绍了混合数据安全部署的设置和管理:

                                                                                                                                                  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

                                                                                                                                                    设置、试验和生产阶段将在接下来的三章中详细介绍。

                                                                                                                                                  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

                                                                                                                                                  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

                                                                                                                                                  在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

                                                                                                                                                  群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

                                                                                                                                                  当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

                                                                                                                                                  我们只支持每个组织一个集群。

                                                                                                                                                  混合数据安全试验模式

                                                                                                                                                  设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

                                                                                                                                                  如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

                                                                                                                                                  如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

                                                                                                                                                  用于灾难恢复的备用数据中心

                                                                                                                                                  在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手动故障转移到待机数据中心

                                                                                                                                                  活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


                                                                                                                                                   

                                                                                                                                                  活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

                                                                                                                                                  设置灾难恢复的备用数据中心

                                                                                                                                                  按照以下步骤配置备用数据中心的ISO文件:

                                                                                                                                                  准备工作

                                                                                                                                                  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

                                                                                                                                                  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


                                                                                                                                                   

                                                                                                                                                  ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

                                                                                                                                                  下一步

                                                                                                                                                  配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

                                                                                                                                                  代理支持

                                                                                                                                                  混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

                                                                                                                                                  混合数据安全节点支持以下代理选项:

                                                                                                                                                  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

                                                                                                                                                  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

                                                                                                                                                  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

                                                                                                                                                    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

                                                                                                                                                    2. 代理端口 - 代理用来侦听代理流量的端口号。

                                                                                                                                                    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

                                                                                                                                                      • HTTP - 查看和控制客户端发送的所有请求。

                                                                                                                                                      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

                                                                                                                                                    4. 验证类型 - 从以下验证类型中进行选择:

                                                                                                                                                      • - 无需进一步验证。

                                                                                                                                                        在选择 HTTP 或 HTTPS 作为代理协议时可用。

                                                                                                                                                      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

                                                                                                                                                        在选择 HTTP 或 HTTPS 作为代理协议时可用。

                                                                                                                                                        要求您在每个节点上输入用户名和密码。

                                                                                                                                                      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

                                                                                                                                                        仅当您选择 HTTPS 作为代理协议时可用。

                                                                                                                                                        要求您在每个节点上输入用户名和密码。

                                                                                                                                                  混合数据安全节点和代理的示例

                                                                                                                                                  此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

                                                                                                                                                  阻止外部 DNS 解析模式(显式代理配置)

                                                                                                                                                  当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

                                                                                                                                                  准备您的环境

                                                                                                                                                  混合数据安全要求

                                                                                                                                                  Cisco Webex许可证要求

                                                                                                                                                  要部署混合数据安全:

                                                                                                                                                  Docker Desktop要求

                                                                                                                                                  安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

                                                                                                                                                  X.509证书要求

                                                                                                                                                  证书链必须满足以下要求:

                                                                                                                                                  表 1. 混合数据安全部署的X.509证书要求

                                                                                                                                                  要求

                                                                                                                                                  详细信息

                                                                                                                                                  • 由受信任的证书颁发机构(CA)签名

                                                                                                                                                  默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 标识混合数据安全部署的公用名(CN)域名

                                                                                                                                                  • 不是通配符证书

                                                                                                                                                  CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

                                                                                                                                                  CN不能包含*(通配符)。

                                                                                                                                                  CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

                                                                                                                                                  • 非SHA1签名

                                                                                                                                                  KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

                                                                                                                                                  • 格式化为受密码保护的PKCS #12文件

                                                                                                                                                  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

                                                                                                                                                  您可以使用转换器(例如OpenSSL)来更改证书的格式。

                                                                                                                                                  运行HDS设置工具时,您需要输入密码。

                                                                                                                                                  KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

                                                                                                                                                  虚拟主持人要求

                                                                                                                                                  您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

                                                                                                                                                  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

                                                                                                                                                  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


                                                                                                                                                     

                                                                                                                                                    如果您有较早版本的ESXi,则必须升级。

                                                                                                                                                  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

                                                                                                                                                  数据库服务器要求


                                                                                                                                                   

                                                                                                                                                  创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

                                                                                                                                                  数据库服务器有两个选项。 每一项的要求如下:

                                                                                                                                                  表 2. 按数据库类型划分的数据库服务器要求

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14、15或16,已安装并运行。

                                                                                                                                                  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

                                                                                                                                                  至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

                                                                                                                                                  至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

                                                                                                                                                  HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC驱动程序42.2.5

                                                                                                                                                  SQL Server JDBC驱动程序4.6

                                                                                                                                                  此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

                                                                                                                                                  针对Microsoft SQL Server进行Windows验证的其他要求

                                                                                                                                                  如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

                                                                                                                                                  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

                                                                                                                                                  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

                                                                                                                                                  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

                                                                                                                                                  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

                                                                                                                                                    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

                                                                                                                                                  外部连接要求

                                                                                                                                                  配置防火墙以允许HDS应用程序的以下连接:

                                                                                                                                                  应用程序

                                                                                                                                                  协议

                                                                                                                                                  端口

                                                                                                                                                  应用程序的方向

                                                                                                                                                  目标位置

                                                                                                                                                  混合数据安全节点

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出站HTTPS和WSS

                                                                                                                                                  HDS设置工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出站HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用标识主机

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

                                                                                                                                                  通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

                                                                                                                                                  地区

                                                                                                                                                  通用标识主机URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  欧盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  代理服务器要求

                                                                                                                                                  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

                                                                                                                                                    • 透明代理 - Cisco Web 安全设备 (WSA)。

                                                                                                                                                    • 显式代理 - Squid。


                                                                                                                                                       

                                                                                                                                                      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

                                                                                                                                                  • 我们支持显式代理的以下验证类型组合:

                                                                                                                                                    • 不进行 HTTP 或 HTTPS 验证

                                                                                                                                                    • 进行 HTTP 或 HTTPS 基本验证

                                                                                                                                                    • 仅进行 HTTPS 摘要验证

                                                                                                                                                  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

                                                                                                                                                  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

                                                                                                                                                  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

                                                                                                                                                  完成混合数据安全的先决条件

                                                                                                                                                  使用此核对表来确保您已准备好安装和配置混合数据安全群集。
                                                                                                                                                  1

                                                                                                                                                  确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

                                                                                                                                                  2

                                                                                                                                                  为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

                                                                                                                                                  3

                                                                                                                                                  准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

                                                                                                                                                  4

                                                                                                                                                  根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

                                                                                                                                                  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

                                                                                                                                                  2. 收集节点用于与数据库服务器通信的详细信息:

                                                                                                                                                    • 主机名称或IP地址(主机)和端口

                                                                                                                                                    • 用于密钥存储的数据库名称(dbname)

                                                                                                                                                    • 具有密钥存储数据库所有权限的用户的用户名和密码

                                                                                                                                                  5

                                                                                                                                                  为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

                                                                                                                                                  6

                                                                                                                                                  设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


                                                                                                                                                   

                                                                                                                                                  由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

                                                                                                                                                  Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

                                                                                                                                                  8

                                                                                                                                                  确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

                                                                                                                                                  9

                                                                                                                                                  在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

                                                                                                                                                  要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

                                                                                                                                                  10

                                                                                                                                                  如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

                                                                                                                                                  11

                                                                                                                                                  如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


                                                                                                                                                   

                                                                                                                                                  给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

                                                                                                                                                  设置混合数据安全群集

                                                                                                                                                  混合数据安全部署任务流程

                                                                                                                                                  准备工作

                                                                                                                                                  准备您的环境

                                                                                                                                                  1

                                                                                                                                                  下载安装文件

                                                                                                                                                  将OVA文件下载到本地计算机以供后续使用。

                                                                                                                                                  2

                                                                                                                                                  为HDS主机创建配置ISO

                                                                                                                                                  使用HDS设置工具为混合数据安全节点创建ISO配置文件。

                                                                                                                                                  3

                                                                                                                                                  安装HDS主机OVA

                                                                                                                                                  从OVA文件创建虚拟机并执行初始配置,例如网络设置。


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  设置混合数据安全虚拟机

                                                                                                                                                  登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

                                                                                                                                                  5

                                                                                                                                                  上传并挂载HDS配置ISO

                                                                                                                                                  从使用HDS设置工具创建的ISO配置文件配置VM。

                                                                                                                                                  6

                                                                                                                                                  配置用于代理集成的 HDS 节点

                                                                                                                                                  如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

                                                                                                                                                  7

                                                                                                                                                  注册集群中的第一个节点

                                                                                                                                                  向Cisco Webex云注册VM作为混合数据安全节点。

                                                                                                                                                  8

                                                                                                                                                  创建和注册更多节点

                                                                                                                                                  完成群集设置。

                                                                                                                                                  9

                                                                                                                                                  运行试用并进入生产 阶段(下一章)

                                                                                                                                                  在开始试用之前,节点会生成警报,指示您的服务尚未激活。

                                                                                                                                                  下载安装文件

                                                                                                                                                  在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
                                                                                                                                                  1

                                                                                                                                                  登录 https://admin.webex.com,然后单击 服务

                                                                                                                                                  2

                                                                                                                                                  在“混合服务”部分,找到混合数据安全卡,然后单击设置

                                                                                                                                                  如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


                                                                                                                                                   

                                                                                                                                                  您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


                                                                                                                                                   

                                                                                                                                                  旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

                                                                                                                                                  3

                                                                                                                                                  选择表示您尚未设置节点,然后单击下一步

                                                                                                                                                  OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
                                                                                                                                                  4

                                                                                                                                                  或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

                                                                                                                                                  为HDS主机创建配置ISO

                                                                                                                                                  混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

                                                                                                                                                  准备工作

                                                                                                                                                  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

                                                                                                                                                    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

                                                                                                                                                    描述

                                                                                                                                                    变量

                                                                                                                                                    无身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    无身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

                                                                                                                                                    • 数据库凭证

                                                                                                                                                    • 证书更新

                                                                                                                                                    • 授权策略更改

                                                                                                                                                  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

                                                                                                                                                  1

                                                                                                                                                  在机器命令行中输入适用于您环境的命令:

                                                                                                                                                  在常规环境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 环境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

                                                                                                                                                  2

                                                                                                                                                  要登录 Docker 映像注册表,请输入以下内容:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密码提示下,输入以下哈希:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下载适用于您环境的最新稳定映像:

                                                                                                                                                  在常规环境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 环境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  拉取完成后,输入适用于您环境的命令:

                                                                                                                                                  • 在无代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在有 HTTP 代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在有 HTTPS 代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在无代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在有 HTTP 代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在有 HTTPS 代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

                                                                                                                                                  使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

                                                                                                                                                  该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

                                                                                                                                                  7

                                                                                                                                                  出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

                                                                                                                                                  8

                                                                                                                                                  在Setup Tool概述页面上,单击 Get Started

                                                                                                                                                  9

                                                                                                                                                  ISO导入页面上,您有以下选项:

                                                                                                                                                  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
                                                                                                                                                  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
                                                                                                                                                  10

                                                                                                                                                  检查您的X.509证书是否符合X.509证书要求中的要求。

                                                                                                                                                  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
                                                                                                                                                  • 如果证书确定,请单击继续
                                                                                                                                                  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
                                                                                                                                                  11

                                                                                                                                                  输入HDS的数据库地址和帐户以访问您的密钥数据存储:

                                                                                                                                                  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

                                                                                                                                                    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

                                                                                                                                                  2. (仅Microsoft SQL Server)选择您的验证类型

                                                                                                                                                    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

                                                                                                                                                    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

                                                                                                                                                  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    例如:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

                                                                                                                                                    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

                                                                                                                                                  4. 输入数据库名称

                                                                                                                                                  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

                                                                                                                                                  12

                                                                                                                                                  选择 <UNK> LS数据库连接模式

                                                                                                                                                  模式

                                                                                                                                                  描述

                                                                                                                                                  首选 TLS(缺省选项)

                                                                                                                                                  HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

                                                                                                                                                  需要 TLS

                                                                                                                                                  仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  需要 TLS 并验证证书签名者


                                                                                                                                                   

                                                                                                                                                  此模式不适用于SQL Server数据库。

                                                                                                                                                  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

                                                                                                                                                  使用下拉列表下的数据库根证书控件上传该选项的根证书。

                                                                                                                                                  需要 TLS 并验证证书签名者和主机名

                                                                                                                                                  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

                                                                                                                                                  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

                                                                                                                                                  使用下拉列表下的数据库根证书控件上传该选项的根证书。

                                                                                                                                                  上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

                                                                                                                                                  13

                                                                                                                                                  在“系统日志”页面上,配置您的Sy 服务器:

                                                                                                                                                  1. 输入系统日志服务器URL。

                                                                                                                                                    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

                                                                                                                                                    例如:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
                                                                                                                                                  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

                                                                                                                                                    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

                                                                                                                                                    • 字节为空-- \x00

                                                                                                                                                    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

                                                                                                                                                  4. 单击继续

                                                                                                                                                  14

                                                                                                                                                  (可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  单击重置服务帐户密码屏幕上的继续

                                                                                                                                                  服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

                                                                                                                                                  16

                                                                                                                                                  单击 ISO文件。 将文件保存在易于查找的位置。

                                                                                                                                                  17

                                                                                                                                                  在本地系统上备份ISO文件。

                                                                                                                                                  确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  18

                                                                                                                                                  要关闭设置工具,请键入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


                                                                                                                                                   

                                                                                                                                                  我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

                                                                                                                                                  安装HDS主机OVA

                                                                                                                                                  使用此过程从OVA文件创建虚拟机。
                                                                                                                                                  1

                                                                                                                                                  使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

                                                                                                                                                  2

                                                                                                                                                  选择“文件 > 部署 OVF 模板”。

                                                                                                                                                  3

                                                                                                                                                  在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

                                                                                                                                                  4

                                                                                                                                                  选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

                                                                                                                                                  5

                                                                                                                                                  计算资源 页,选择目标计算资源,然后单击 下一步

                                                                                                                                                  运行验证检查。 完成后,将显示模板详细信息。

                                                                                                                                                  6

                                                                                                                                                  验证模板详细信息,然后单击下一步

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

                                                                                                                                                  8

                                                                                                                                                  存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

                                                                                                                                                  9

                                                                                                                                                  网络 页,从条目列表中选择网络选项以提供所需的VM连接。

                                                                                                                                                  10

                                                                                                                                                  自定义模板页面上,配置以下网络设置:

                                                                                                                                                  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

                                                                                                                                                     
                                                                                                                                                    • 您无需将域设置为与用于获取X.509证书的域匹配。

                                                                                                                                                    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

                                                                                                                                                    • FQDN 的总长度绝不得超过 64 个字符。

                                                                                                                                                  • IP地址 -输入节点内部接口的IP地址。

                                                                                                                                                     

                                                                                                                                                    节点应具有内部IP地址和DNS名称。 不支持DHCP。

                                                                                                                                                  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
                                                                                                                                                  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
                                                                                                                                                  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
                                                                                                                                                  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。
                                                                                                                                                  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

                                                                                                                                                  如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  右键单击节点虚拟机,然后选择 >

                                                                                                                                                  混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

                                                                                                                                                  疑难解答提示

                                                                                                                                                  在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

                                                                                                                                                  设置混合数据安全虚拟机

                                                                                                                                                  此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

                                                                                                                                                  1

                                                                                                                                                  在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

                                                                                                                                                  VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
                                                                                                                                                  2

                                                                                                                                                  使用以下缺省登录和密码登录并更改凭证:

                                                                                                                                                  1. 登录名: admin

                                                                                                                                                  2. 密码: cisco

                                                                                                                                                  由于您是首次登录VM,您需要更改管理员密码。

                                                                                                                                                  3

                                                                                                                                                  如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

                                                                                                                                                  4

                                                                                                                                                  使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

                                                                                                                                                  5

                                                                                                                                                  (可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

                                                                                                                                                  您无需将域设置为与用于获取X.509证书的域匹配。

                                                                                                                                                  6

                                                                                                                                                  保存网络配置并重启虚拟机,使更改生效。

                                                                                                                                                  上传并挂载HDS配置ISO

                                                                                                                                                  此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

                                                                                                                                                  准备工作

                                                                                                                                                  由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

                                                                                                                                                  1

                                                                                                                                                  从您的计算机上传ISO文件:

                                                                                                                                                  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

                                                                                                                                                  2. 在配置标签页的硬件列表中,单击存储空间

                                                                                                                                                  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

                                                                                                                                                  4. 单击“上传文件”图标,然后单击“上传文件”

                                                                                                                                                  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

                                                                                                                                                  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

                                                                                                                                                  2

                                                                                                                                                  安装ISO文件:

                                                                                                                                                  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

                                                                                                                                                  2. 单击 确定以接受限制编辑选项警告。

                                                                                                                                                  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

                                                                                                                                                  4. 检查已连接接通电源时连接

                                                                                                                                                  5. 保存更改并重新启动虚拟机。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  配置用于代理集成的 HDS 节点

                                                                                                                                                  如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

                                                                                                                                                  准备工作

                                                                                                                                                  1

                                                                                                                                                  输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

                                                                                                                                                  2

                                                                                                                                                  转至信任库和代理,然后选择一个选项:

                                                                                                                                                  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
                                                                                                                                                  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
                                                                                                                                                  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:
                                                                                                                                                    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

                                                                                                                                                    2. 代理端口 - 代理用来侦听代理流量的端口号。

                                                                                                                                                    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

                                                                                                                                                    4. 验证类型 - 从以下验证类型中进行选择:

                                                                                                                                                      • - 无需进一步验证。

                                                                                                                                                        适用于 HTTP 或 HTTPS 代理。

                                                                                                                                                      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

                                                                                                                                                        适用于 HTTP 或 HTTPS 代理。

                                                                                                                                                        如果选择此选项,还必须输入用户名和密码。

                                                                                                                                                      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

                                                                                                                                                        仅适用于 HTTPS 代理。

                                                                                                                                                        如果选择此选项,还必须输入用户名和密码。

                                                                                                                                                  按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

                                                                                                                                                  3

                                                                                                                                                  单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

                                                                                                                                                  证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

                                                                                                                                                  4

                                                                                                                                                  单击检查代理连接以测试节点和代理服务器之间的网络连接。

                                                                                                                                                  如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

                                                                                                                                                  如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

                                                                                                                                                  5

                                                                                                                                                  在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

                                                                                                                                                  节点在几分钟内重启。

                                                                                                                                                  7

                                                                                                                                                  节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

                                                                                                                                                  代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

                                                                                                                                                  注册集群中的第一个节点

                                                                                                                                                  此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

                                                                                                                                                  注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

                                                                                                                                                  准备工作

                                                                                                                                                  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

                                                                                                                                                  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

                                                                                                                                                  1

                                                                                                                                                  登录到 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  从屏幕左侧的菜单中选择“服务”。

                                                                                                                                                  3

                                                                                                                                                  在“混合服务”部分,找到混合数据安全,然后单击设置

                                                                                                                                                  出现注册混合数据安全节点页。
                                                                                                                                                  4

                                                                                                                                                  选择表示您已设置节点并准备好注册,然后单击下一步

                                                                                                                                                  5

                                                                                                                                                  在第一个字段中,输入要分配混合数据安全节点的集群的名称。

                                                                                                                                                  建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

                                                                                                                                                  6

                                                                                                                                                  在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

                                                                                                                                                  此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

                                                                                                                                                  出现一条消息,表示您可以将节点注册到Webex。
                                                                                                                                                  7

                                                                                                                                                  单击转至节点。

                                                                                                                                                  8

                                                                                                                                                  单击警告消息中的继续。

                                                                                                                                                  片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
                                                                                                                                                  9

                                                                                                                                                  选中允许访问您的混合数据安全节点复选框,然后单击继续

                                                                                                                                                  您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
                                                                                                                                                  10

                                                                                                                                                  单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

                                                                                                                                                  混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

                                                                                                                                                  创建和注册更多节点

                                                                                                                                                  要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

                                                                                                                                                   

                                                                                                                                                  目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

                                                                                                                                                  准备工作

                                                                                                                                                  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

                                                                                                                                                  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

                                                                                                                                                  1

                                                                                                                                                  从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

                                                                                                                                                  2

                                                                                                                                                  在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

                                                                                                                                                  4

                                                                                                                                                  如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

                                                                                                                                                  5

                                                                                                                                                  注册节点。

                                                                                                                                                  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

                                                                                                                                                  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

                                                                                                                                                    出现“混合数据安全资源”页。
                                                                                                                                                  3. 单击添加资源

                                                                                                                                                  4. 在第一个字段中,选择现有集群的名称。

                                                                                                                                                  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

                                                                                                                                                    出现一条消息,表示您可以将节点注册到Webex云。
                                                                                                                                                  6. 单击转至节点。

                                                                                                                                                    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。
                                                                                                                                                  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

                                                                                                                                                    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
                                                                                                                                                  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

                                                                                                                                                  节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

                                                                                                                                                  下一步

                                                                                                                                                  运行试用并进入生产 阶段(下一章)
                                                                                                                                                  运行试用并转入生产模式

                                                                                                                                                  试用到生产任务流程

                                                                                                                                                  设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

                                                                                                                                                  1

                                                                                                                                                  如果适用,同步 HdsTrialGroup 组对象。

                                                                                                                                                  如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

                                                                                                                                                  2

                                                                                                                                                  激活试用

                                                                                                                                                  开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

                                                                                                                                                  3

                                                                                                                                                  测试混合数据安全部署

                                                                                                                                                  检查关键请求是否传递给您的混合数据安全部署。

                                                                                                                                                  4

                                                                                                                                                  监控混合数据安全运行状况

                                                                                                                                                  检查状态并设置警报的电子邮件通知。

                                                                                                                                                  5

                                                                                                                                                  从试用中添加或删除用户

                                                                                                                                                  6

                                                                                                                                                  通过以下操作之一完成试验阶段:

                                                                                                                                                  激活试用

                                                                                                                                                  准备工作

                                                                                                                                                  如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

                                                                                                                                                  1

                                                                                                                                                  登录 https://admin.webex.com,然后选择 服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“服务状态”部分,单击开始试用

                                                                                                                                                  服务状态将更改为试用模式。
                                                                                                                                                  4

                                                                                                                                                  单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

                                                                                                                                                  (如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

                                                                                                                                                  测试混合数据安全部署

                                                                                                                                                  此程序用于测试混合数据安全加密方案。

                                                                                                                                                  准备工作

                                                                                                                                                  • 设置混合数据安全部署。

                                                                                                                                                  • 激活试用并添加多个试用用户。

                                                                                                                                                  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

                                                                                                                                                  1

                                                                                                                                                  给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


                                                                                                                                                   

                                                                                                                                                  如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

                                                                                                                                                  2

                                                                                                                                                  将消息发送到新空间。

                                                                                                                                                  3

                                                                                                                                                  检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

                                                                                                                                                  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    您应该找到如下条目(为便于阅读而缩写的标识符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  监控混合数据安全运行状况

                                                                                                                                                  Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
                                                                                                                                                  1

                                                                                                                                                  Control Hub中,从屏幕左侧的菜单中选择服务

                                                                                                                                                  2

                                                                                                                                                  在“混合服务”部分,找到混合数据安全,然后单击设置

                                                                                                                                                  出现“混合数据安全设置”页。
                                                                                                                                                  3

                                                                                                                                                  在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

                                                                                                                                                  从试用中添加或删除用户

                                                                                                                                                  在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

                                                                                                                                                  如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

                                                                                                                                                  如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

                                                                                                                                                  4

                                                                                                                                                  输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

                                                                                                                                                  从试用过渡到生产

                                                                                                                                                  当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在Service Status部分,单击 Move to Production

                                                                                                                                                  4

                                                                                                                                                  确认您要将所有用户移至生产模式。

                                                                                                                                                  在不进入生产阶段的情况下结束试用

                                                                                                                                                  在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“停用”区域中,单击停用

                                                                                                                                                  4

                                                                                                                                                  确认您要停用服务并结束试用。

                                                                                                                                                  管理HDS部署

                                                                                                                                                  管理HDS部署

                                                                                                                                                  使用此处描述的任务来管理混合数据安全部署。

                                                                                                                                                  设置集群升级计划

                                                                                                                                                  混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

                                                                                                                                                  要设置升级安排:

                                                                                                                                                  1

                                                                                                                                                  登录到 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在“概述”页面上的混合服务下,选择混合数据安全

                                                                                                                                                  3

                                                                                                                                                  在“混合数据安全资源”页上,选择群集。

                                                                                                                                                  4

                                                                                                                                                  在右侧“概述”面板中的“集群设置”下,选择集群名称。

                                                                                                                                                  5

                                                                                                                                                  在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

                                                                                                                                                  注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

                                                                                                                                                  更改节点配置

                                                                                                                                                  出于以下原因,有时可能需要更改混合数据安全节点的配置:
                                                                                                                                                  • 由于过期或其他原因而需要更改 x.509 证书。


                                                                                                                                                     

                                                                                                                                                    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

                                                                                                                                                  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


                                                                                                                                                     

                                                                                                                                                    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

                                                                                                                                                  • 创建新配置,以准备新的数据中心。

                                                                                                                                                  此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

                                                                                                                                                  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

                                                                                                                                                  • 硬重设 - 旧密码立即作废。

                                                                                                                                                  如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

                                                                                                                                                  使用此过程以生成新的配置 ISO 文件并将其应用于集群。

                                                                                                                                                  准备工作

                                                                                                                                                  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

                                                                                                                                                    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

                                                                                                                                                    描述

                                                                                                                                                    变量

                                                                                                                                                    无身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    无身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

                                                                                                                                                  1

                                                                                                                                                  使用本地计算机上的 Docker 运行 HDS 设置工具。

                                                                                                                                                  1. 在机器命令行中输入适用于您环境的命令:

                                                                                                                                                    在常规环境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 环境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

                                                                                                                                                  2. 要登录 Docker 映像注册表,请输入以下内容:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密码提示下,输入以下哈希:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下载适用于您环境的最新稳定映像:

                                                                                                                                                    在常规环境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 环境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

                                                                                                                                                  5. 拉取完成后,输入适用于您环境的命令:

                                                                                                                                                    • 在无代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在有 HTTP 代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在有 HTTPS 代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在无代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在有 HTTP 代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在有 HTTPS 代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

                                                                                                                                                  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

                                                                                                                                                  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

                                                                                                                                                  8. 导入当前配置 ISO 文件。

                                                                                                                                                  9. 根据提示完成工具并下载更新后的文件。

                                                                                                                                                    要关闭设置工具,请键入 CTRL+C

                                                                                                                                                  10. 在另一个数据中心为更新的文件创建备份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

                                                                                                                                                  1. 安装 HDS 主机 OVA。

                                                                                                                                                  2. 设置 HDS VM。

                                                                                                                                                  3. 安装更新的配置文件。

                                                                                                                                                  4. 在 Control Hub 中注册新节点。

                                                                                                                                                  3

                                                                                                                                                  对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

                                                                                                                                                  1. 关闭虚拟机。

                                                                                                                                                  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

                                                                                                                                                  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

                                                                                                                                                  4. 选中开机时连接

                                                                                                                                                  5. 保存您的更改并打开虚拟机。

                                                                                                                                                  4

                                                                                                                                                  重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

                                                                                                                                                  关闭阻止外部 DNS 解析模式

                                                                                                                                                  当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

                                                                                                                                                  如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

                                                                                                                                                  准备工作

                                                                                                                                                  确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
                                                                                                                                                  1

                                                                                                                                                  在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

                                                                                                                                                  2

                                                                                                                                                  转至概述(缺省页面)。

                                                                                                                                                  启用后,阻止外部 DNS 解析会设置为

                                                                                                                                                  3

                                                                                                                                                  转至信任库和代理页面。

                                                                                                                                                  4

                                                                                                                                                  单击检查代理连接

                                                                                                                                                  如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

                                                                                                                                                  下一步

                                                                                                                                                  在混合数据安全集群中的每个节点上重复代理连接测试。

                                                                                                                                                  删除节点

                                                                                                                                                  使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
                                                                                                                                                  1

                                                                                                                                                  使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

                                                                                                                                                  2

                                                                                                                                                  删除节点:

                                                                                                                                                  1. 登录Control Hub,然后选择服务

                                                                                                                                                  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

                                                                                                                                                  3. 选择簇以显示其概述面板。

                                                                                                                                                  4. 单击 节点列表

                                                                                                                                                  5. 在“节点”选项卡上,选择要删除的节点。

                                                                                                                                                  6. 单击 > 注册节点

                                                                                                                                                  3

                                                                                                                                                  在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

                                                                                                                                                  如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

                                                                                                                                                  使用待机数据中心进行灾难恢复

                                                                                                                                                  混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

                                                                                                                                                  由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

                                                                                                                                                  如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

                                                                                                                                                  下一步

                                                                                                                                                  故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

                                                                                                                                                  (可选)在HDS配置之后卸载ISO

                                                                                                                                                  标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

                                                                                                                                                  您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

                                                                                                                                                  准备工作

                                                                                                                                                  将所有HDS节点升级到版本2021.01.22.4720或更高版本。

                                                                                                                                                  1

                                                                                                                                                  关闭其中一个HDS节点。

                                                                                                                                                  2

                                                                                                                                                  在vCenter Server 中,选择HDS节点。

                                                                                                                                                  3

                                                                                                                                                  选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

                                                                                                                                                  4

                                                                                                                                                  打开HDS节点电源,并确保至少20分钟内没有警报。

                                                                                                                                                  5

                                                                                                                                                  对每个HDS节点依次重复。

                                                                                                                                                  混合数据安全疑难解答

                                                                                                                                                  查看警告和故障诊断

                                                                                                                                                  如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

                                                                                                                                                  • 无法创建新空间(无法创建新密钥)

                                                                                                                                                  • 消息和空间标题无法解密:

                                                                                                                                                    • 添加到空间的新用户(无法获取密钥)

                                                                                                                                                    • 空间中使用新客户端的现有用户(无法获取密钥)

                                                                                                                                                  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

                                                                                                                                                  请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

                                                                                                                                                  警告

                                                                                                                                                  如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

                                                                                                                                                  表 1. 常见问题及其解决步骤

                                                                                                                                                  预警

                                                                                                                                                  操作

                                                                                                                                                  本地数据库访问失败。

                                                                                                                                                  检查数据库错误或本地网络问题。

                                                                                                                                                  本地数据库连接失败。

                                                                                                                                                  检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

                                                                                                                                                  云服务访问失败。

                                                                                                                                                  检查节点是否可以按 连接要求 Webex服务器。

                                                                                                                                                  续订云服务注册。

                                                                                                                                                  云服务的注册已取消。 正在续订注册。

                                                                                                                                                  云服务注册已断开。

                                                                                                                                                  云服务的注册已终止。 服务正在关闭。

                                                                                                                                                  服务尚未激活。

                                                                                                                                                  激活试用或完成将试用转入生产阶段。

                                                                                                                                                  配置的域与服务器证书不匹配。

                                                                                                                                                  确保服务器证书与配置的服务激活域匹配。

                                                                                                                                                  最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

                                                                                                                                                  向云服务验证失败。

                                                                                                                                                  检查服务帐户凭证的准确性和可能的过期时间。

                                                                                                                                                  打开本地密钥库文件失败。

                                                                                                                                                  检查本地密钥库文件的完整性和密码准确性。

                                                                                                                                                  本地服务器证书无效。

                                                                                                                                                  检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

                                                                                                                                                  无法发布指标。

                                                                                                                                                  检查外部云服务的本地网络访问。

                                                                                                                                                  /media/configdrive/hds目录不存在。

                                                                                                                                                  检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

                                                                                                                                                  混合数据安全疑难解答

                                                                                                                                                  对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
                                                                                                                                                  1

                                                                                                                                                  查看Control Hub中的任何警告并修复您在此处找到的任何项目。

                                                                                                                                                  2

                                                                                                                                                  查看来自混合数据安全部署的系统日志服务器输出的活动。

                                                                                                                                                  3

                                                                                                                                                  请联系思科支持人员

                                                                                                                                                  其他备注

                                                                                                                                                  混合数据安全的已知问题

                                                                                                                                                  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

                                                                                                                                                  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

                                                                                                                                                    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

                                                                                                                                                  使用OpenSSL生成PKCS12文件

                                                                                                                                                  准备工作

                                                                                                                                                  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

                                                                                                                                                  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

                                                                                                                                                  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

                                                                                                                                                  • 创建私有密钥。

                                                                                                                                                  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

                                                                                                                                                  1

                                                                                                                                                  当您从CA收到服务器证书时,将其另存为 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  将证书显示为文本并验证详细信息。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用友好名称创建。p12文件 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  检查服务器证书详细信息。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

                                                                                                                                                    例如:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


                                                                                                                                                   

                                                                                                                                                  在原始证书过期时,您可以重复使用这些文件以请求新证书。

                                                                                                                                                  HDS节点和云之间的流量

                                                                                                                                                  出站指标收集流量

                                                                                                                                                  混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

                                                                                                                                                  入站流量

                                                                                                                                                  混合数据安全节点从Webex云接收以下类型的入站流量:

                                                                                                                                                  • 来自客户端的加密请求,由加密服务路由

                                                                                                                                                  • 升级到节点软件

                                                                                                                                                  配置用于混合数据安全的 Squid 代理

                                                                                                                                                  Websocket 无法通过 Squid 代理连接

                                                                                                                                                  检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  添加 on_unsupported_protocol 指令至 squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新信息和更改信息

                                                                                                                                                  日期

                                                                                                                                                  已作更改

                                                                                                                                                  2023年10月20日

                                                                                                                                                  2023年8月7日

                                                                                                                                                  2023年5月23日

                                                                                                                                                  2022年12月6日

                                                                                                                                                  2022年11月23日

                                                                                                                                                  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

                                                                                                                                                    更新了 服务器要求 主题,添加了此验证模式的其他要求。

                                                                                                                                                    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

                                                                                                                                                  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  2021年1月11日

                                                                                                                                                  添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  更新了下载安装文件

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  更新了测试混合数据安全部署以了解日志消息的更改。

                                                                                                                                                  更新了 主机要求 以删除最大主机数量。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  更新了Control Hub UI中的删除节点更改。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  更新了 主机要求 ,显示ESXi 6.5的新要求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  更新了新的美洲CI主机的外部连接要求

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  更新了有关区域CI主机的外部连接要求

                                                                                                                                                  2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
                                                                                                                                                  2020年2月4日更新了 服务器要求
                                                                                                                                                  2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下部分中添加了有关阻止的外部DNS解析模式的信息:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

                                                                                                                                                  相应更新了以下各节:


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  将SQL Server标准版添加到 服务器要求

                                                                                                                                                  2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

                                                                                                                                                  要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

                                                                                                                                                  2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
                                                                                                                                                  2019年3月6日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

                                                                                                                                                  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

                                                                                                                                                  2018年11月5日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  更改了术语以反映Cisco Spark的更名:

                                                                                                                                                  • Cisco Spark混合数据安全现为混合数据安全。

                                                                                                                                                  • Cisco Spark应用程序现在是Webex应用程序。

                                                                                                                                                  • Cisco Collaboraton Cloud现在是Webex云。

                                                                                                                                                  2018年4月11日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日

                                                                                                                                                  • 澄清HdsTrialGroup的目录同步。

                                                                                                                                                  • 修复了上传ISO配置文件以安装到VM节点的说明。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次发布

                                                                                                                                                  混合数据安全入门

                                                                                                                                                  混合数据安全概述

                                                                                                                                                  从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

                                                                                                                                                  缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

                                                                                                                                                  安全领域体系结构

                                                                                                                                                  Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

                                                                                                                                                  分离领域(没有混合数据安全)

                                                                                                                                                  为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

                                                                                                                                                  在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

                                                                                                                                                  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

                                                                                                                                                  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

                                                                                                                                                  3. 加密的消息将发送到合规性服务以进行合规性检查。

                                                                                                                                                  4. 加密消息存储在存储领域中。

                                                                                                                                                  部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

                                                                                                                                                  与其他组织协作

                                                                                                                                                  组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

                                                                                                                                                  在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

                                                                                                                                                  对部署混合数据安全的期望

                                                                                                                                                  混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

                                                                                                                                                  要部署混合数据安全,您必须提供:

                                                                                                                                                  完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

                                                                                                                                                  • 管理数据库和配置ISO的备份和恢复。

                                                                                                                                                  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


                                                                                                                                                   

                                                                                                                                                  在HDS部署后,没有将密钥移回云的机制。

                                                                                                                                                  高层设置过程

                                                                                                                                                  本文档介绍了混合数据安全部署的设置和管理:

                                                                                                                                                  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

                                                                                                                                                    设置、试验和生产阶段将在接下来的三章中详细介绍。

                                                                                                                                                  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

                                                                                                                                                  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

                                                                                                                                                  在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

                                                                                                                                                  群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

                                                                                                                                                  当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

                                                                                                                                                  我们只支持每个组织一个集群。

                                                                                                                                                  混合数据安全试验模式

                                                                                                                                                  设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

                                                                                                                                                  如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

                                                                                                                                                  如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

                                                                                                                                                  用于灾难恢复的备用数据中心

                                                                                                                                                  在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手动故障转移到待机数据中心

                                                                                                                                                  活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


                                                                                                                                                   

                                                                                                                                                  活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

                                                                                                                                                  设置灾难恢复的备用数据中心

                                                                                                                                                  按照以下步骤配置备用数据中心的ISO文件:

                                                                                                                                                  准备工作

                                                                                                                                                  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

                                                                                                                                                  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


                                                                                                                                                   

                                                                                                                                                  ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

                                                                                                                                                  下一步

                                                                                                                                                  配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

                                                                                                                                                  代理支持

                                                                                                                                                  混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

                                                                                                                                                  混合数据安全节点支持以下代理选项:

                                                                                                                                                  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

                                                                                                                                                  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

                                                                                                                                                  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

                                                                                                                                                    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

                                                                                                                                                    2. 代理端口 - 代理用来侦听代理流量的端口号。

                                                                                                                                                    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

                                                                                                                                                      • HTTP - 查看和控制客户端发送的所有请求。

                                                                                                                                                      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

                                                                                                                                                    4. 验证类型 - 从以下验证类型中进行选择:

                                                                                                                                                      • - 无需进一步验证。

                                                                                                                                                        在选择 HTTP 或 HTTPS 作为代理协议时可用。

                                                                                                                                                      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

                                                                                                                                                        在选择 HTTP 或 HTTPS 作为代理协议时可用。

                                                                                                                                                        要求您在每个节点上输入用户名和密码。

                                                                                                                                                      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

                                                                                                                                                        仅当您选择 HTTPS 作为代理协议时可用。

                                                                                                                                                        要求您在每个节点上输入用户名和密码。

                                                                                                                                                  混合数据安全节点和代理的示例

                                                                                                                                                  此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

                                                                                                                                                  阻止外部 DNS 解析模式(显式代理配置)

                                                                                                                                                  当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

                                                                                                                                                  准备您的环境

                                                                                                                                                  混合数据安全要求

                                                                                                                                                  Cisco Webex许可证要求

                                                                                                                                                  要部署混合数据安全:

                                                                                                                                                  Docker Desktop要求

                                                                                                                                                  安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

                                                                                                                                                  X.509证书要求

                                                                                                                                                  证书链必须满足以下要求:

                                                                                                                                                  表 1. 混合数据安全部署的X.509证书要求

                                                                                                                                                  要求

                                                                                                                                                  详细信息

                                                                                                                                                  • 由受信任的证书颁发机构(CA)签名

                                                                                                                                                  默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 标识混合数据安全部署的公用名(CN)域名

                                                                                                                                                  • 不是通配符证书

                                                                                                                                                  CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

                                                                                                                                                  CN不能包含*(通配符)。

                                                                                                                                                  CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

                                                                                                                                                  • 非SHA1签名

                                                                                                                                                  KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

                                                                                                                                                  • 格式化为受密码保护的PKCS #12文件

                                                                                                                                                  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

                                                                                                                                                  您可以使用转换器(例如OpenSSL)来更改证书的格式。

                                                                                                                                                  运行HDS设置工具时,您需要输入密码。

                                                                                                                                                  KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

                                                                                                                                                  虚拟主持人要求

                                                                                                                                                  您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

                                                                                                                                                  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

                                                                                                                                                  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


                                                                                                                                                     

                                                                                                                                                    如果您有较早版本的ESXi,则必须升级。

                                                                                                                                                  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

                                                                                                                                                  数据库服务器要求


                                                                                                                                                   

                                                                                                                                                  创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

                                                                                                                                                  数据库服务器有两个选项。 每一项的要求如下:

                                                                                                                                                  表 2. 按数据库类型划分的数据库服务器要求

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14、15或16,已安装并运行。

                                                                                                                                                  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

                                                                                                                                                  至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

                                                                                                                                                  至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

                                                                                                                                                  HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC驱动程序42.2.5

                                                                                                                                                  SQL Server JDBC驱动程序4.6

                                                                                                                                                  此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

                                                                                                                                                  针对Microsoft SQL Server进行Windows验证的其他要求

                                                                                                                                                  如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

                                                                                                                                                  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

                                                                                                                                                  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

                                                                                                                                                  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

                                                                                                                                                  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

                                                                                                                                                    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

                                                                                                                                                  外部连接要求

                                                                                                                                                  配置防火墙以允许HDS应用程序的以下连接:

                                                                                                                                                  应用程序

                                                                                                                                                  协议

                                                                                                                                                  端口

                                                                                                                                                  应用程序的方向

                                                                                                                                                  目标位置

                                                                                                                                                  混合数据安全节点

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出站HTTPS和WSS

                                                                                                                                                  HDS设置工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出站HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用标识主机

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

                                                                                                                                                  通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

                                                                                                                                                  地区

                                                                                                                                                  通用标识主机URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  欧盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  代理服务器要求

                                                                                                                                                  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

                                                                                                                                                    • 透明代理 - Cisco Web 安全设备 (WSA)。

                                                                                                                                                    • 显式代理 - Squid。


                                                                                                                                                       

                                                                                                                                                      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

                                                                                                                                                  • 我们支持显式代理的以下验证类型组合:

                                                                                                                                                    • 不进行 HTTP 或 HTTPS 验证

                                                                                                                                                    • 进行 HTTP 或 HTTPS 基本验证

                                                                                                                                                    • 仅进行 HTTPS 摘要验证

                                                                                                                                                  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

                                                                                                                                                  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

                                                                                                                                                  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

                                                                                                                                                  完成混合数据安全的先决条件

                                                                                                                                                  使用此核对表来确保您已准备好安装和配置混合数据安全群集。
                                                                                                                                                  1

                                                                                                                                                  确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

                                                                                                                                                  2

                                                                                                                                                  为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

                                                                                                                                                  3

                                                                                                                                                  准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

                                                                                                                                                  4

                                                                                                                                                  根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

                                                                                                                                                  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

                                                                                                                                                  2. 收集节点用于与数据库服务器通信的详细信息:

                                                                                                                                                    • 主机名称或IP地址(主机)和端口

                                                                                                                                                    • 用于密钥存储的数据库名称(dbname)

                                                                                                                                                    • 具有密钥存储数据库所有权限的用户的用户名和密码

                                                                                                                                                  5

                                                                                                                                                  为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

                                                                                                                                                  6

                                                                                                                                                  设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


                                                                                                                                                   

                                                                                                                                                  由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

                                                                                                                                                  Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

                                                                                                                                                  8

                                                                                                                                                  确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

                                                                                                                                                  9

                                                                                                                                                  在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

                                                                                                                                                  要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

                                                                                                                                                  10

                                                                                                                                                  如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

                                                                                                                                                  11

                                                                                                                                                  如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


                                                                                                                                                   

                                                                                                                                                  给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

                                                                                                                                                  设置混合数据安全群集

                                                                                                                                                  混合数据安全部署任务流程

                                                                                                                                                  准备工作

                                                                                                                                                  准备您的环境

                                                                                                                                                  1

                                                                                                                                                  下载安装文件

                                                                                                                                                  将OVA文件下载到本地计算机以供后续使用。

                                                                                                                                                  2

                                                                                                                                                  为HDS主机创建配置ISO

                                                                                                                                                  使用HDS设置工具为混合数据安全节点创建ISO配置文件。

                                                                                                                                                  3

                                                                                                                                                  安装HDS主机OVA

                                                                                                                                                  从OVA文件创建虚拟机并执行初始配置,例如网络设置。


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  设置混合数据安全虚拟机

                                                                                                                                                  登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

                                                                                                                                                  5

                                                                                                                                                  上传并挂载HDS配置ISO

                                                                                                                                                  从使用HDS设置工具创建的ISO配置文件配置VM。

                                                                                                                                                  6

                                                                                                                                                  配置用于代理集成的 HDS 节点

                                                                                                                                                  如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

                                                                                                                                                  7

                                                                                                                                                  注册集群中的第一个节点

                                                                                                                                                  向Cisco Webex云注册VM作为混合数据安全节点。

                                                                                                                                                  8

                                                                                                                                                  创建和注册更多节点

                                                                                                                                                  完成群集设置。

                                                                                                                                                  9

                                                                                                                                                  运行试用并进入生产 阶段(下一章)

                                                                                                                                                  在开始试用之前,节点会生成警报,指示您的服务尚未激活。

                                                                                                                                                  下载安装文件

                                                                                                                                                  在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
                                                                                                                                                  1

                                                                                                                                                  登录 https://admin.webex.com,然后单击 服务

                                                                                                                                                  2

                                                                                                                                                  在“混合服务”部分,找到混合数据安全卡,然后单击设置

                                                                                                                                                  如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


                                                                                                                                                   

                                                                                                                                                  您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


                                                                                                                                                   

                                                                                                                                                  旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

                                                                                                                                                  3

                                                                                                                                                  选择表示您尚未设置节点,然后单击下一步

                                                                                                                                                  OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
                                                                                                                                                  4

                                                                                                                                                  或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

                                                                                                                                                  为HDS主机创建配置ISO

                                                                                                                                                  混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

                                                                                                                                                  准备工作

                                                                                                                                                  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

                                                                                                                                                    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

                                                                                                                                                    描述

                                                                                                                                                    变量

                                                                                                                                                    无身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    无身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

                                                                                                                                                    • 数据库凭证

                                                                                                                                                    • 证书更新

                                                                                                                                                    • 授权策略更改

                                                                                                                                                  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

                                                                                                                                                  1

                                                                                                                                                  在机器命令行中输入适用于您环境的命令:

                                                                                                                                                  在常规环境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 环境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

                                                                                                                                                  2

                                                                                                                                                  要登录 Docker 映像注册表,请输入以下内容:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密码提示下,输入以下哈希:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下载适用于您环境的最新稳定映像:

                                                                                                                                                  在常规环境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 环境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  拉取完成后,输入适用于您环境的命令:

                                                                                                                                                  • 在无代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在有 HTTP 代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在有 HTTPS 代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在无代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在有 HTTP 代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在有 HTTPS 代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

                                                                                                                                                  使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

                                                                                                                                                  该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

                                                                                                                                                  7

                                                                                                                                                  出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

                                                                                                                                                  8

                                                                                                                                                  在Setup Tool概述页面上,单击 Get Started

                                                                                                                                                  9

                                                                                                                                                  ISO导入页面上,您有以下选项:

                                                                                                                                                  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
                                                                                                                                                  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
                                                                                                                                                  10

                                                                                                                                                  检查您的X.509证书是否符合X.509证书要求中的要求。

                                                                                                                                                  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
                                                                                                                                                  • 如果证书确定,请单击继续
                                                                                                                                                  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
                                                                                                                                                  11

                                                                                                                                                  输入HDS的数据库地址和帐户以访问您的密钥数据存储:

                                                                                                                                                  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

                                                                                                                                                    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

                                                                                                                                                  2. (仅Microsoft SQL Server)选择您的验证类型

                                                                                                                                                    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

                                                                                                                                                    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

                                                                                                                                                  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    例如:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

                                                                                                                                                    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

                                                                                                                                                  4. 输入数据库名称

                                                                                                                                                  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

                                                                                                                                                  12

                                                                                                                                                  选择 <UNK> LS数据库连接模式

                                                                                                                                                  模式

                                                                                                                                                  描述

                                                                                                                                                  首选 TLS(缺省选项)

                                                                                                                                                  HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

                                                                                                                                                  需要 TLS

                                                                                                                                                  仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  需要 TLS 并验证证书签名者


                                                                                                                                                   

                                                                                                                                                  此模式不适用于SQL Server数据库。

                                                                                                                                                  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

                                                                                                                                                  使用下拉列表下的数据库根证书控件上传该选项的根证书。

                                                                                                                                                  需要 TLS 并验证证书签名者和主机名

                                                                                                                                                  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

                                                                                                                                                  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

                                                                                                                                                  使用下拉列表下的数据库根证书控件上传该选项的根证书。

                                                                                                                                                  上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

                                                                                                                                                  13

                                                                                                                                                  在“系统日志”页面上,配置您的Sy 服务器:

                                                                                                                                                  1. 输入系统日志服务器URL。

                                                                                                                                                    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

                                                                                                                                                    例如:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
                                                                                                                                                  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

                                                                                                                                                    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

                                                                                                                                                    • 字节为空-- \x00

                                                                                                                                                    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

                                                                                                                                                  4. 单击继续

                                                                                                                                                  14

                                                                                                                                                  (可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  单击重置服务帐户密码屏幕上的继续

                                                                                                                                                  服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

                                                                                                                                                  16

                                                                                                                                                  单击 ISO文件。 将文件保存在易于查找的位置。

                                                                                                                                                  17

                                                                                                                                                  在本地系统上备份ISO文件。

                                                                                                                                                  确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  18

                                                                                                                                                  要关闭设置工具,请键入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


                                                                                                                                                   

                                                                                                                                                  我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

                                                                                                                                                  安装HDS主机OVA

                                                                                                                                                  使用此过程从OVA文件创建虚拟机。
                                                                                                                                                  1

                                                                                                                                                  使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

                                                                                                                                                  2

                                                                                                                                                  选择“文件 > 部署 OVF 模板”。

                                                                                                                                                  3

                                                                                                                                                  在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

                                                                                                                                                  4

                                                                                                                                                  选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

                                                                                                                                                  5

                                                                                                                                                  计算资源 页,选择目标计算资源,然后单击 下一步

                                                                                                                                                  运行验证检查。 完成后,将显示模板详细信息。

                                                                                                                                                  6

                                                                                                                                                  验证模板详细信息,然后单击下一步

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

                                                                                                                                                  8

                                                                                                                                                  存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

                                                                                                                                                  9

                                                                                                                                                  网络 页,从条目列表中选择网络选项以提供所需的VM连接。

                                                                                                                                                  10

                                                                                                                                                  自定义模板页面上,配置以下网络设置:

                                                                                                                                                  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

                                                                                                                                                     
                                                                                                                                                    • 您无需将域设置为与用于获取X.509证书的域匹配。

                                                                                                                                                    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

                                                                                                                                                    • FQDN 的总长度绝不得超过 64 个字符。

                                                                                                                                                  • IP地址 -输入节点内部接口的IP地址。

                                                                                                                                                     

                                                                                                                                                    节点应具有内部IP地址和DNS名称。 不支持DHCP。

                                                                                                                                                  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
                                                                                                                                                  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
                                                                                                                                                  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
                                                                                                                                                  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。
                                                                                                                                                  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

                                                                                                                                                  如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  右键单击节点虚拟机,然后选择 >

                                                                                                                                                  混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

                                                                                                                                                  疑难解答提示

                                                                                                                                                  在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

                                                                                                                                                  设置混合数据安全虚拟机

                                                                                                                                                  此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

                                                                                                                                                  1

                                                                                                                                                  在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

                                                                                                                                                  VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
                                                                                                                                                  2

                                                                                                                                                  使用以下缺省登录和密码登录并更改凭证:

                                                                                                                                                  1. 登录名: admin

                                                                                                                                                  2. 密码: cisco

                                                                                                                                                  由于您是首次登录VM,您需要更改管理员密码。

                                                                                                                                                  3

                                                                                                                                                  如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

                                                                                                                                                  4

                                                                                                                                                  使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

                                                                                                                                                  5

                                                                                                                                                  (可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

                                                                                                                                                  您无需将域设置为与用于获取X.509证书的域匹配。

                                                                                                                                                  6

                                                                                                                                                  保存网络配置并重启虚拟机,使更改生效。

                                                                                                                                                  上传并挂载HDS配置ISO

                                                                                                                                                  此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

                                                                                                                                                  准备工作

                                                                                                                                                  由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

                                                                                                                                                  1

                                                                                                                                                  从您的计算机上传ISO文件:

                                                                                                                                                  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

                                                                                                                                                  2. 在配置标签页的硬件列表中,单击存储空间

                                                                                                                                                  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

                                                                                                                                                  4. 单击“上传文件”图标,然后单击“上传文件”

                                                                                                                                                  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

                                                                                                                                                  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

                                                                                                                                                  2

                                                                                                                                                  安装ISO文件:

                                                                                                                                                  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

                                                                                                                                                  2. 单击 确定以接受限制编辑选项警告。

                                                                                                                                                  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

                                                                                                                                                  4. 检查已连接接通电源时连接

                                                                                                                                                  5. 保存更改并重新启动虚拟机。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  配置用于代理集成的 HDS 节点

                                                                                                                                                  如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

                                                                                                                                                  准备工作

                                                                                                                                                  1

                                                                                                                                                  输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

                                                                                                                                                  2

                                                                                                                                                  转至信任库和代理,然后选择一个选项:

                                                                                                                                                  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
                                                                                                                                                  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
                                                                                                                                                  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:
                                                                                                                                                    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

                                                                                                                                                    2. 代理端口 - 代理用来侦听代理流量的端口号。

                                                                                                                                                    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

                                                                                                                                                    4. 验证类型 - 从以下验证类型中进行选择:

                                                                                                                                                      • - 无需进一步验证。

                                                                                                                                                        适用于 HTTP 或 HTTPS 代理。

                                                                                                                                                      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

                                                                                                                                                        适用于 HTTP 或 HTTPS 代理。

                                                                                                                                                        如果选择此选项,还必须输入用户名和密码。

                                                                                                                                                      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

                                                                                                                                                        仅适用于 HTTPS 代理。

                                                                                                                                                        如果选择此选项,还必须输入用户名和密码。

                                                                                                                                                  按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

                                                                                                                                                  3

                                                                                                                                                  单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

                                                                                                                                                  证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

                                                                                                                                                  4

                                                                                                                                                  单击检查代理连接以测试节点和代理服务器之间的网络连接。

                                                                                                                                                  如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

                                                                                                                                                  如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

                                                                                                                                                  5

                                                                                                                                                  在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

                                                                                                                                                  节点在几分钟内重启。

                                                                                                                                                  7

                                                                                                                                                  节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

                                                                                                                                                  代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

                                                                                                                                                  注册集群中的第一个节点

                                                                                                                                                  此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

                                                                                                                                                  注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

                                                                                                                                                  准备工作

                                                                                                                                                  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

                                                                                                                                                  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

                                                                                                                                                  1

                                                                                                                                                  登录到 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  从屏幕左侧的菜单中选择“服务”。

                                                                                                                                                  3

                                                                                                                                                  在“混合服务”部分,找到混合数据安全,然后单击设置

                                                                                                                                                  出现注册混合数据安全节点页。
                                                                                                                                                  4

                                                                                                                                                  选择表示您已设置节点并准备好注册,然后单击下一步

                                                                                                                                                  5

                                                                                                                                                  在第一个字段中,输入要分配混合数据安全节点的集群的名称。

                                                                                                                                                  建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

                                                                                                                                                  6

                                                                                                                                                  在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

                                                                                                                                                  此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

                                                                                                                                                  出现一条消息,表示您可以将节点注册到Webex。
                                                                                                                                                  7

                                                                                                                                                  单击转至节点。

                                                                                                                                                  8

                                                                                                                                                  单击警告消息中的继续。

                                                                                                                                                  片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
                                                                                                                                                  9

                                                                                                                                                  选中允许访问您的混合数据安全节点复选框,然后单击继续

                                                                                                                                                  您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
                                                                                                                                                  10

                                                                                                                                                  单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

                                                                                                                                                  混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

                                                                                                                                                  创建和注册更多节点

                                                                                                                                                  要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

                                                                                                                                                   

                                                                                                                                                  目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

                                                                                                                                                  准备工作

                                                                                                                                                  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

                                                                                                                                                  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

                                                                                                                                                  1

                                                                                                                                                  从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

                                                                                                                                                  2

                                                                                                                                                  在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

                                                                                                                                                  4

                                                                                                                                                  如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

                                                                                                                                                  5

                                                                                                                                                  注册节点。

                                                                                                                                                  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

                                                                                                                                                  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

                                                                                                                                                    出现“混合数据安全资源”页。
                                                                                                                                                  3. 单击添加资源

                                                                                                                                                  4. 在第一个字段中,选择现有集群的名称。

                                                                                                                                                  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

                                                                                                                                                    出现一条消息,表示您可以将节点注册到Webex云。
                                                                                                                                                  6. 单击转至节点。

                                                                                                                                                    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。
                                                                                                                                                  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

                                                                                                                                                    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
                                                                                                                                                  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

                                                                                                                                                  节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

                                                                                                                                                  下一步

                                                                                                                                                  运行试用并进入生产 阶段(下一章)
                                                                                                                                                  运行试用并转入生产模式

                                                                                                                                                  试用到生产任务流程

                                                                                                                                                  设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

                                                                                                                                                  1

                                                                                                                                                  如果适用,同步 HdsTrialGroup 组对象。

                                                                                                                                                  如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

                                                                                                                                                  2

                                                                                                                                                  激活试用

                                                                                                                                                  开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

                                                                                                                                                  3

                                                                                                                                                  测试混合数据安全部署

                                                                                                                                                  检查关键请求是否传递给您的混合数据安全部署。

                                                                                                                                                  4

                                                                                                                                                  监控混合数据安全运行状况

                                                                                                                                                  检查状态并设置警报的电子邮件通知。

                                                                                                                                                  5

                                                                                                                                                  从试用中添加或删除用户

                                                                                                                                                  6

                                                                                                                                                  通过以下操作之一完成试验阶段:

                                                                                                                                                  激活试用

                                                                                                                                                  准备工作

                                                                                                                                                  如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

                                                                                                                                                  1

                                                                                                                                                  登录 https://admin.webex.com,然后选择 服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“服务状态”部分,单击开始试用

                                                                                                                                                  服务状态将更改为试用模式。
                                                                                                                                                  4

                                                                                                                                                  单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

                                                                                                                                                  (如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

                                                                                                                                                  测试混合数据安全部署

                                                                                                                                                  此程序用于测试混合数据安全加密方案。

                                                                                                                                                  准备工作

                                                                                                                                                  • 设置混合数据安全部署。

                                                                                                                                                  • 激活试用并添加多个试用用户。

                                                                                                                                                  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

                                                                                                                                                  1

                                                                                                                                                  给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


                                                                                                                                                   

                                                                                                                                                  如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

                                                                                                                                                  2

                                                                                                                                                  将消息发送到新空间。

                                                                                                                                                  3

                                                                                                                                                  检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

                                                                                                                                                  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    您应该找到如下条目(为便于阅读而缩写的标识符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  监控混合数据安全运行状况

                                                                                                                                                  Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
                                                                                                                                                  1

                                                                                                                                                  Control Hub中,从屏幕左侧的菜单中选择服务

                                                                                                                                                  2

                                                                                                                                                  在“混合服务”部分,找到混合数据安全,然后单击设置

                                                                                                                                                  出现“混合数据安全设置”页。
                                                                                                                                                  3

                                                                                                                                                  在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

                                                                                                                                                  从试用中添加或删除用户

                                                                                                                                                  在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

                                                                                                                                                  如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

                                                                                                                                                  如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

                                                                                                                                                  4

                                                                                                                                                  输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

                                                                                                                                                  从试用过渡到生产

                                                                                                                                                  当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在Service Status部分,单击 Move to Production

                                                                                                                                                  4

                                                                                                                                                  确认您要将所有用户移至生产模式。

                                                                                                                                                  在不进入生产阶段的情况下结束试用

                                                                                                                                                  在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“停用”区域中,单击停用

                                                                                                                                                  4

                                                                                                                                                  确认您要停用服务并结束试用。

                                                                                                                                                  管理HDS部署

                                                                                                                                                  管理HDS部署

                                                                                                                                                  使用此处描述的任务来管理混合数据安全部署。

                                                                                                                                                  设置集群升级计划

                                                                                                                                                  混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

                                                                                                                                                  要设置升级安排:

                                                                                                                                                  1

                                                                                                                                                  登录到 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在“概述”页面上的混合服务下,选择混合数据安全

                                                                                                                                                  3

                                                                                                                                                  在“混合数据安全资源”页上,选择群集。

                                                                                                                                                  4

                                                                                                                                                  在右侧“概述”面板中的“集群设置”下,选择集群名称。

                                                                                                                                                  5

                                                                                                                                                  在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

                                                                                                                                                  注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

                                                                                                                                                  更改节点配置

                                                                                                                                                  出于以下原因,有时可能需要更改混合数据安全节点的配置:
                                                                                                                                                  • 由于过期或其他原因而需要更改 x.509 证书。


                                                                                                                                                     

                                                                                                                                                    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

                                                                                                                                                  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


                                                                                                                                                     

                                                                                                                                                    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

                                                                                                                                                  • 创建新配置,以准备新的数据中心。

                                                                                                                                                  此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

                                                                                                                                                  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

                                                                                                                                                  • 硬重设 - 旧密码立即作废。

                                                                                                                                                  如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

                                                                                                                                                  使用此过程以生成新的配置 ISO 文件并将其应用于集群。

                                                                                                                                                  准备工作

                                                                                                                                                  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

                                                                                                                                                    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

                                                                                                                                                    描述

                                                                                                                                                    变量

                                                                                                                                                    无身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    无身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

                                                                                                                                                  1

                                                                                                                                                  使用本地计算机上的 Docker 运行 HDS 设置工具。

                                                                                                                                                  1. 在机器命令行中输入适用于您环境的命令:

                                                                                                                                                    在常规环境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 环境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

                                                                                                                                                  2. 要登录 Docker 映像注册表,请输入以下内容:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密码提示下,输入以下哈希:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下载适用于您环境的最新稳定映像:

                                                                                                                                                    在常规环境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 环境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

                                                                                                                                                  5. 拉取完成后,输入适用于您环境的命令:

                                                                                                                                                    • 在无代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在有 HTTP 代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在有 HTTPS 代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在无代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在有 HTTP 代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在有 HTTPS 代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

                                                                                                                                                  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

                                                                                                                                                  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

                                                                                                                                                  8. 导入当前配置 ISO 文件。

                                                                                                                                                  9. 根据提示完成工具并下载更新后的文件。

                                                                                                                                                    要关闭设置工具,请键入 CTRL+C

                                                                                                                                                  10. 在另一个数据中心为更新的文件创建备份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

                                                                                                                                                  1. 安装 HDS 主机 OVA。

                                                                                                                                                  2. 设置 HDS VM。

                                                                                                                                                  3. 安装更新的配置文件。

                                                                                                                                                  4. 在 Control Hub 中注册新节点。

                                                                                                                                                  3

                                                                                                                                                  对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

                                                                                                                                                  1. 关闭虚拟机。

                                                                                                                                                  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

                                                                                                                                                  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

                                                                                                                                                  4. 选中开机时连接

                                                                                                                                                  5. 保存您的更改并打开虚拟机。

                                                                                                                                                  4

                                                                                                                                                  重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

                                                                                                                                                  关闭阻止外部 DNS 解析模式

                                                                                                                                                  当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

                                                                                                                                                  如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

                                                                                                                                                  准备工作

                                                                                                                                                  确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
                                                                                                                                                  1

                                                                                                                                                  在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

                                                                                                                                                  2

                                                                                                                                                  转至概述(缺省页面)。

                                                                                                                                                  启用后,阻止外部 DNS 解析会设置为

                                                                                                                                                  3

                                                                                                                                                  转至信任库和代理页面。

                                                                                                                                                  4

                                                                                                                                                  单击检查代理连接

                                                                                                                                                  如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

                                                                                                                                                  下一步

                                                                                                                                                  在混合数据安全集群中的每个节点上重复代理连接测试。

                                                                                                                                                  删除节点

                                                                                                                                                  使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
                                                                                                                                                  1

                                                                                                                                                  使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

                                                                                                                                                  2

                                                                                                                                                  删除节点:

                                                                                                                                                  1. 登录Control Hub,然后选择服务

                                                                                                                                                  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

                                                                                                                                                  3. 选择簇以显示其概述面板。

                                                                                                                                                  4. 单击 节点列表

                                                                                                                                                  5. 在“节点”选项卡上,选择要删除的节点。

                                                                                                                                                  6. 单击 > 注册节点

                                                                                                                                                  3

                                                                                                                                                  在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

                                                                                                                                                  如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

                                                                                                                                                  使用待机数据中心进行灾难恢复

                                                                                                                                                  混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

                                                                                                                                                  由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

                                                                                                                                                  如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

                                                                                                                                                  下一步

                                                                                                                                                  故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

                                                                                                                                                  (可选)在HDS配置之后卸载ISO

                                                                                                                                                  标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

                                                                                                                                                  您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

                                                                                                                                                  准备工作

                                                                                                                                                  将所有HDS节点升级到版本2021.01.22.4720或更高版本。

                                                                                                                                                  1

                                                                                                                                                  关闭其中一个HDS节点。

                                                                                                                                                  2

                                                                                                                                                  在vCenter Server 中,选择HDS节点。

                                                                                                                                                  3

                                                                                                                                                  选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

                                                                                                                                                  4

                                                                                                                                                  打开HDS节点电源,并确保至少20分钟内没有警报。

                                                                                                                                                  5

                                                                                                                                                  对每个HDS节点依次重复。

                                                                                                                                                  混合数据安全疑难解答

                                                                                                                                                  查看警告和故障诊断

                                                                                                                                                  如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

                                                                                                                                                  • 无法创建新空间(无法创建新密钥)

                                                                                                                                                  • 消息和空间标题无法解密:

                                                                                                                                                    • 添加到空间的新用户(无法获取密钥)

                                                                                                                                                    • 空间中使用新客户端的现有用户(无法获取密钥)

                                                                                                                                                  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

                                                                                                                                                  请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

                                                                                                                                                  警告

                                                                                                                                                  如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

                                                                                                                                                  表 1. 常见问题及其解决步骤

                                                                                                                                                  预警

                                                                                                                                                  操作

                                                                                                                                                  本地数据库访问失败。

                                                                                                                                                  检查数据库错误或本地网络问题。

                                                                                                                                                  本地数据库连接失败。

                                                                                                                                                  检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

                                                                                                                                                  云服务访问失败。

                                                                                                                                                  检查节点是否可以按 连接要求 Webex服务器。

                                                                                                                                                  续订云服务注册。

                                                                                                                                                  云服务的注册已取消。 正在续订注册。

                                                                                                                                                  云服务注册已断开。

                                                                                                                                                  云服务的注册已终止。 服务正在关闭。

                                                                                                                                                  服务尚未激活。

                                                                                                                                                  激活试用或完成将试用转入生产阶段。

                                                                                                                                                  配置的域与服务器证书不匹配。

                                                                                                                                                  确保服务器证书与配置的服务激活域匹配。

                                                                                                                                                  最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

                                                                                                                                                  向云服务验证失败。

                                                                                                                                                  检查服务帐户凭证的准确性和可能的过期时间。

                                                                                                                                                  打开本地密钥库文件失败。

                                                                                                                                                  检查本地密钥库文件的完整性和密码准确性。

                                                                                                                                                  本地服务器证书无效。

                                                                                                                                                  检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

                                                                                                                                                  无法发布指标。

                                                                                                                                                  检查外部云服务的本地网络访问。

                                                                                                                                                  /media/configdrive/hds目录不存在。

                                                                                                                                                  检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

                                                                                                                                                  混合数据安全疑难解答

                                                                                                                                                  对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
                                                                                                                                                  1

                                                                                                                                                  查看Control Hub中的任何警告并修复您在此处找到的任何项目。

                                                                                                                                                  2

                                                                                                                                                  查看来自混合数据安全部署的系统日志服务器输出的活动。

                                                                                                                                                  3

                                                                                                                                                  请联系思科支持人员

                                                                                                                                                  其他备注

                                                                                                                                                  混合数据安全的已知问题

                                                                                                                                                  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

                                                                                                                                                  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

                                                                                                                                                    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

                                                                                                                                                  使用OpenSSL生成PKCS12文件

                                                                                                                                                  准备工作

                                                                                                                                                  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

                                                                                                                                                  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

                                                                                                                                                  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

                                                                                                                                                  • 创建私有密钥。

                                                                                                                                                  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

                                                                                                                                                  1

                                                                                                                                                  当您从CA收到服务器证书时,将其另存为 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  将证书显示为文本并验证详细信息。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用友好名称创建。p12文件 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  检查服务器证书详细信息。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

                                                                                                                                                    例如:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


                                                                                                                                                   

                                                                                                                                                  在原始证书过期时,您可以重复使用这些文件以请求新证书。

                                                                                                                                                  HDS节点和云之间的流量

                                                                                                                                                  出站指标收集流量

                                                                                                                                                  混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

                                                                                                                                                  入站流量

                                                                                                                                                  混合数据安全节点从Webex云接收以下类型的入站流量:

                                                                                                                                                  • 来自客户端的加密请求,由加密服务路由

                                                                                                                                                  • 升级到节点软件

                                                                                                                                                  配置用于混合数据安全的 Squid 代理

                                                                                                                                                  Websocket 无法通过 Squid 代理连接

                                                                                                                                                  检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  添加 on_unsupported_protocol 指令至 squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新信息和更改信息

                                                                                                                                                  日期

                                                                                                                                                  已作更改

                                                                                                                                                  2023年10月20日

                                                                                                                                                  2023年8月7日

                                                                                                                                                  2023年5月23日

                                                                                                                                                  2022年12月6日

                                                                                                                                                  2022年11月23日

                                                                                                                                                  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

                                                                                                                                                    更新了 服务器要求 主题,添加了此验证模式的其他要求。

                                                                                                                                                    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

                                                                                                                                                  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  2021年1月11日

                                                                                                                                                  添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  更新了下载安装文件

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  更新了测试混合数据安全部署以了解日志消息的更改。

                                                                                                                                                  更新了 主机要求 以删除最大主机数量。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  更新了Control Hub UI中的删除节点更改。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  更新了 主机要求 ,显示ESXi 6.5的新要求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  更新了新的美洲CI主机的外部连接要求

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  更新了有关区域CI主机的外部连接要求

                                                                                                                                                  2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
                                                                                                                                                  2020年2月4日更新了 服务器要求
                                                                                                                                                  2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下部分中添加了有关阻止的外部DNS解析模式的信息:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

                                                                                                                                                  相应更新了以下各节:


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  将SQL Server标准版添加到 服务器要求

                                                                                                                                                  2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

                                                                                                                                                  要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

                                                                                                                                                  2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
                                                                                                                                                  2019年3月6日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

                                                                                                                                                  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

                                                                                                                                                  2018年11月5日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  更改了术语以反映Cisco Spark的更名:

                                                                                                                                                  • Cisco Spark混合数据安全现为混合数据安全。

                                                                                                                                                  • Cisco Spark应用程序现在是Webex应用程序。

                                                                                                                                                  • Cisco Collaboraton Cloud现在是Webex云。

                                                                                                                                                  2018年4月11日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日

                                                                                                                                                  • 澄清HdsTrialGroup的目录同步。

                                                                                                                                                  • 修复了上传ISO配置文件以安装到VM节点的说明。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次发布

                                                                                                                                                  混合数据安全入门

                                                                                                                                                  混合数据安全概述

                                                                                                                                                  从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

                                                                                                                                                  缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

                                                                                                                                                  安全领域体系结构

                                                                                                                                                  Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

                                                                                                                                                  分离领域(没有混合数据安全)

                                                                                                                                                  为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

                                                                                                                                                  在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

                                                                                                                                                  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

                                                                                                                                                  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

                                                                                                                                                  3. 加密的消息将发送到合规性服务以进行合规性检查。

                                                                                                                                                  4. 加密消息存储在存储领域中。

                                                                                                                                                  部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

                                                                                                                                                  与其他组织协作

                                                                                                                                                  组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

                                                                                                                                                  在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

                                                                                                                                                  对部署混合数据安全的期望

                                                                                                                                                  混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

                                                                                                                                                  要部署混合数据安全,您必须提供:

                                                                                                                                                  完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

                                                                                                                                                  • 管理数据库和配置ISO的备份和恢复。

                                                                                                                                                  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


                                                                                                                                                   

                                                                                                                                                  在HDS部署后,没有将密钥移回云的机制。

                                                                                                                                                  高层设置过程

                                                                                                                                                  本文档介绍了混合数据安全部署的设置和管理:

                                                                                                                                                  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

                                                                                                                                                    设置、试验和生产阶段将在接下来的三章中详细介绍。

                                                                                                                                                  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

                                                                                                                                                  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

                                                                                                                                                  在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

                                                                                                                                                  群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

                                                                                                                                                  当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

                                                                                                                                                  我们只支持每个组织一个集群。

                                                                                                                                                  混合数据安全试验模式

                                                                                                                                                  设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

                                                                                                                                                  如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

                                                                                                                                                  如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

                                                                                                                                                  用于灾难恢复的备用数据中心

                                                                                                                                                  在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手动故障转移到待机数据中心

                                                                                                                                                  活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


                                                                                                                                                   

                                                                                                                                                  活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

                                                                                                                                                  设置灾难恢复的备用数据中心

                                                                                                                                                  按照以下步骤配置备用数据中心的ISO文件:

                                                                                                                                                  准备工作

                                                                                                                                                  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

                                                                                                                                                  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


                                                                                                                                                   

                                                                                                                                                  ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

                                                                                                                                                  下一步

                                                                                                                                                  配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

                                                                                                                                                  代理支持

                                                                                                                                                  混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

                                                                                                                                                  混合数据安全节点支持以下代理选项:

                                                                                                                                                  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

                                                                                                                                                  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

                                                                                                                                                  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

                                                                                                                                                    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

                                                                                                                                                    2. 代理端口 - 代理用来侦听代理流量的端口号。

                                                                                                                                                    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

                                                                                                                                                      • HTTP - 查看和控制客户端发送的所有请求。

                                                                                                                                                      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

                                                                                                                                                    4. 验证类型 - 从以下验证类型中进行选择:

                                                                                                                                                      • - 无需进一步验证。

                                                                                                                                                        在选择 HTTP 或 HTTPS 作为代理协议时可用。

                                                                                                                                                      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

                                                                                                                                                        在选择 HTTP 或 HTTPS 作为代理协议时可用。

                                                                                                                                                        要求您在每个节点上输入用户名和密码。

                                                                                                                                                      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

                                                                                                                                                        仅当您选择 HTTPS 作为代理协议时可用。

                                                                                                                                                        要求您在每个节点上输入用户名和密码。

                                                                                                                                                  混合数据安全节点和代理的示例

                                                                                                                                                  此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

                                                                                                                                                  阻止外部 DNS 解析模式(显式代理配置)

                                                                                                                                                  当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

                                                                                                                                                  准备您的环境

                                                                                                                                                  混合数据安全要求

                                                                                                                                                  Cisco Webex许可证要求

                                                                                                                                                  要部署混合数据安全:

                                                                                                                                                  Docker Desktop要求

                                                                                                                                                  安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

                                                                                                                                                  X.509证书要求

                                                                                                                                                  证书链必须满足以下要求:

                                                                                                                                                  表 1. 混合数据安全部署的X.509证书要求

                                                                                                                                                  要求

                                                                                                                                                  详细信息

                                                                                                                                                  • 由受信任的证书颁发机构(CA)签名

                                                                                                                                                  默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 标识混合数据安全部署的公用名(CN)域名

                                                                                                                                                  • 不是通配符证书

                                                                                                                                                  CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

                                                                                                                                                  CN不能包含*(通配符)。

                                                                                                                                                  CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

                                                                                                                                                  • 非SHA1签名

                                                                                                                                                  KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

                                                                                                                                                  • 格式化为受密码保护的PKCS #12文件

                                                                                                                                                  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

                                                                                                                                                  您可以使用转换器(例如OpenSSL)来更改证书的格式。

                                                                                                                                                  运行HDS设置工具时,您需要输入密码。

                                                                                                                                                  KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

                                                                                                                                                  虚拟主持人要求

                                                                                                                                                  您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

                                                                                                                                                  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

                                                                                                                                                  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


                                                                                                                                                     

                                                                                                                                                    如果您有较早版本的ESXi,则必须升级。

                                                                                                                                                  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

                                                                                                                                                  数据库服务器要求


                                                                                                                                                   

                                                                                                                                                  创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

                                                                                                                                                  数据库服务器有两个选项。 每一项的要求如下:

                                                                                                                                                  表 2. 按数据库类型划分的数据库服务器要求

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14、15或16,已安装并运行。

                                                                                                                                                  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

                                                                                                                                                  至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

                                                                                                                                                  至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

                                                                                                                                                  HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC驱动程序42.2.5

                                                                                                                                                  SQL Server JDBC驱动程序4.6

                                                                                                                                                  此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

                                                                                                                                                  针对Microsoft SQL Server进行Windows验证的其他要求

                                                                                                                                                  如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

                                                                                                                                                  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

                                                                                                                                                  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

                                                                                                                                                  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

                                                                                                                                                  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

                                                                                                                                                    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

                                                                                                                                                  外部连接要求

                                                                                                                                                  配置防火墙以允许HDS应用程序的以下连接:

                                                                                                                                                  应用程序

                                                                                                                                                  协议

                                                                                                                                                  端口

                                                                                                                                                  应用程序的方向

                                                                                                                                                  目标位置

                                                                                                                                                  混合数据安全节点

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出站HTTPS和WSS

                                                                                                                                                  HDS设置工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出站HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用标识主机

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

                                                                                                                                                  通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

                                                                                                                                                  地区

                                                                                                                                                  通用标识主机URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  欧盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  代理服务器要求

                                                                                                                                                  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

                                                                                                                                                    • 透明代理 - Cisco Web 安全设备 (WSA)。

                                                                                                                                                    • 显式代理 - Squid。


                                                                                                                                                       

                                                                                                                                                      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

                                                                                                                                                  • 我们支持显式代理的以下验证类型组合:

                                                                                                                                                    • 不进行 HTTP 或 HTTPS 验证

                                                                                                                                                    • 进行 HTTP 或 HTTPS 基本验证

                                                                                                                                                    • 仅进行 HTTPS 摘要验证

                                                                                                                                                  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

                                                                                                                                                  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

                                                                                                                                                  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

                                                                                                                                                  完成混合数据安全的先决条件

                                                                                                                                                  使用此核对表来确保您已准备好安装和配置混合数据安全群集。
                                                                                                                                                  1

                                                                                                                                                  确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

                                                                                                                                                  2

                                                                                                                                                  为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

                                                                                                                                                  3

                                                                                                                                                  准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

                                                                                                                                                  4

                                                                                                                                                  根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

                                                                                                                                                  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

                                                                                                                                                  2. 收集节点用于与数据库服务器通信的详细信息:

                                                                                                                                                    • 主机名称或IP地址(主机)和端口

                                                                                                                                                    • 用于密钥存储的数据库名称(dbname)

                                                                                                                                                    • 具有密钥存储数据库所有权限的用户的用户名和密码

                                                                                                                                                  5

                                                                                                                                                  为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

                                                                                                                                                  6

                                                                                                                                                  设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


                                                                                                                                                   

                                                                                                                                                  由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

                                                                                                                                                  Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

                                                                                                                                                  8

                                                                                                                                                  确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

                                                                                                                                                  9

                                                                                                                                                  在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

                                                                                                                                                  要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

                                                                                                                                                  10

                                                                                                                                                  如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

                                                                                                                                                  11

                                                                                                                                                  如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


                                                                                                                                                   

                                                                                                                                                  给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

                                                                                                                                                  设置混合数据安全群集

                                                                                                                                                  混合数据安全部署任务流程

                                                                                                                                                  准备工作

                                                                                                                                                  准备您的环境

                                                                                                                                                  1

                                                                                                                                                  下载安装文件

                                                                                                                                                  将OVA文件下载到本地计算机以供后续使用。

                                                                                                                                                  2

                                                                                                                                                  为HDS主机创建配置ISO

                                                                                                                                                  使用HDS设置工具为混合数据安全节点创建ISO配置文件。

                                                                                                                                                  3

                                                                                                                                                  安装HDS主机OVA

                                                                                                                                                  从OVA文件创建虚拟机并执行初始配置,例如网络设置。


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  设置混合数据安全虚拟机

                                                                                                                                                  登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

                                                                                                                                                  5

                                                                                                                                                  上传并挂载HDS配置ISO

                                                                                                                                                  从使用HDS设置工具创建的ISO配置文件配置VM。

                                                                                                                                                  6

                                                                                                                                                  配置用于代理集成的 HDS 节点

                                                                                                                                                  如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

                                                                                                                                                  7

                                                                                                                                                  注册集群中的第一个节点

                                                                                                                                                  向Cisco Webex云注册VM作为混合数据安全节点。

                                                                                                                                                  8

                                                                                                                                                  创建和注册更多节点

                                                                                                                                                  完成群集设置。

                                                                                                                                                  9

                                                                                                                                                  运行试用并进入生产 阶段(下一章)

                                                                                                                                                  在开始试用之前,节点会生成警报,指示您的服务尚未激活。

                                                                                                                                                  下载安装文件

                                                                                                                                                  在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
                                                                                                                                                  1

                                                                                                                                                  登录 https://admin.webex.com,然后单击 服务

                                                                                                                                                  2

                                                                                                                                                  在“混合服务”部分,找到混合数据安全卡,然后单击设置

                                                                                                                                                  如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


                                                                                                                                                   

                                                                                                                                                  您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


                                                                                                                                                   

                                                                                                                                                  旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

                                                                                                                                                  3

                                                                                                                                                  选择表示您尚未设置节点,然后单击下一步

                                                                                                                                                  OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
                                                                                                                                                  4

                                                                                                                                                  或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

                                                                                                                                                  为HDS主机创建配置ISO

                                                                                                                                                  混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

                                                                                                                                                  准备工作

                                                                                                                                                  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

                                                                                                                                                    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

                                                                                                                                                    描述

                                                                                                                                                    变量

                                                                                                                                                    无身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    无身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

                                                                                                                                                    • 数据库凭证

                                                                                                                                                    • 证书更新

                                                                                                                                                    • 授权策略更改

                                                                                                                                                  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

                                                                                                                                                  1

                                                                                                                                                  在机器命令行中输入适用于您环境的命令:

                                                                                                                                                  在常规环境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 环境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

                                                                                                                                                  2

                                                                                                                                                  要登录 Docker 映像注册表,请输入以下内容:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密码提示下,输入以下哈希:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下载适用于您环境的最新稳定映像:

                                                                                                                                                  在常规环境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 环境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  拉取完成后,输入适用于您环境的命令:

                                                                                                                                                  • 在无代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在有 HTTP 代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在有 HTTPS 代理的常规环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在无代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在有 HTTP 代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在有 HTTPS 代理的 FedRAMP 环境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

                                                                                                                                                  使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

                                                                                                                                                  该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

                                                                                                                                                  7

                                                                                                                                                  出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

                                                                                                                                                  8

                                                                                                                                                  在Setup Tool概述页面上,单击 Get Started

                                                                                                                                                  9

                                                                                                                                                  ISO导入页面上,您有以下选项:

                                                                                                                                                  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
                                                                                                                                                  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
                                                                                                                                                  10

                                                                                                                                                  检查您的X.509证书是否符合X.509证书要求中的要求。

                                                                                                                                                  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
                                                                                                                                                  • 如果证书确定,请单击继续
                                                                                                                                                  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
                                                                                                                                                  11

                                                                                                                                                  输入HDS的数据库地址和帐户以访问您的密钥数据存储:

                                                                                                                                                  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

                                                                                                                                                    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

                                                                                                                                                  2. (仅Microsoft SQL Server)选择您的验证类型

                                                                                                                                                    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

                                                                                                                                                    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

                                                                                                                                                  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    例如:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

                                                                                                                                                    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

                                                                                                                                                  4. 输入数据库名称

                                                                                                                                                  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

                                                                                                                                                  12

                                                                                                                                                  选择 <UNK> LS数据库连接模式

                                                                                                                                                  模式

                                                                                                                                                  描述

                                                                                                                                                  首选 TLS(缺省选项)

                                                                                                                                                  HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

                                                                                                                                                  需要 TLS

                                                                                                                                                  仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  需要 TLS 并验证证书签名者


                                                                                                                                                   

                                                                                                                                                  此模式不适用于SQL Server数据库。

                                                                                                                                                  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

                                                                                                                                                  使用下拉列表下的数据库根证书控件上传该选项的根证书。

                                                                                                                                                  需要 TLS 并验证证书签名者和主机名

                                                                                                                                                  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

                                                                                                                                                  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

                                                                                                                                                  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

                                                                                                                                                  使用下拉列表下的数据库根证书控件上传该选项的根证书。

                                                                                                                                                  上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

                                                                                                                                                  13

                                                                                                                                                  在“系统日志”页面上,配置您的Sy 服务器:

                                                                                                                                                  1. 输入系统日志服务器URL。

                                                                                                                                                    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

                                                                                                                                                    例如:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
                                                                                                                                                  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

                                                                                                                                                    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

                                                                                                                                                    • 字节为空-- \x00

                                                                                                                                                    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

                                                                                                                                                  4. 单击继续

                                                                                                                                                  14

                                                                                                                                                  (可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  单击重置服务帐户密码屏幕上的继续

                                                                                                                                                  服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

                                                                                                                                                  16

                                                                                                                                                  单击 ISO文件。 将文件保存在易于查找的位置。

                                                                                                                                                  17

                                                                                                                                                  在本地系统上备份ISO文件。

                                                                                                                                                  确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  18

                                                                                                                                                  要关闭设置工具,请键入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


                                                                                                                                                   

                                                                                                                                                  我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

                                                                                                                                                  安装HDS主机OVA

                                                                                                                                                  使用此过程从OVA文件创建虚拟机。
                                                                                                                                                  1

                                                                                                                                                  使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

                                                                                                                                                  2

                                                                                                                                                  选择“文件 > 部署 OVF 模板”。

                                                                                                                                                  3

                                                                                                                                                  在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

                                                                                                                                                  4

                                                                                                                                                  选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

                                                                                                                                                  5

                                                                                                                                                  计算资源 页,选择目标计算资源,然后单击 下一步

                                                                                                                                                  运行验证检查。 完成后,将显示模板详细信息。

                                                                                                                                                  6

                                                                                                                                                  验证模板详细信息,然后单击下一步

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

                                                                                                                                                  8

                                                                                                                                                  存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

                                                                                                                                                  9

                                                                                                                                                  网络 页,从条目列表中选择网络选项以提供所需的VM连接。

                                                                                                                                                  10

                                                                                                                                                  自定义模板页面上,配置以下网络设置:

                                                                                                                                                  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

                                                                                                                                                     
                                                                                                                                                    • 您无需将域设置为与用于获取X.509证书的域匹配。

                                                                                                                                                    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

                                                                                                                                                    • FQDN 的总长度绝不得超过 64 个字符。

                                                                                                                                                  • IP地址 -输入节点内部接口的IP地址。

                                                                                                                                                     

                                                                                                                                                    节点应具有内部IP地址和DNS名称。 不支持DHCP。

                                                                                                                                                  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
                                                                                                                                                  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
                                                                                                                                                  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
                                                                                                                                                  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。
                                                                                                                                                  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

                                                                                                                                                  如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  右键单击节点虚拟机,然后选择 >

                                                                                                                                                  混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

                                                                                                                                                  疑难解答提示

                                                                                                                                                  在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

                                                                                                                                                  设置混合数据安全虚拟机

                                                                                                                                                  此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

                                                                                                                                                  1

                                                                                                                                                  在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

                                                                                                                                                  VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
                                                                                                                                                  2

                                                                                                                                                  使用以下缺省登录和密码登录并更改凭证:

                                                                                                                                                  1. 登录名: admin

                                                                                                                                                  2. 密码: cisco

                                                                                                                                                  由于您是首次登录VM,您需要更改管理员密码。

                                                                                                                                                  3

                                                                                                                                                  如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

                                                                                                                                                  4

                                                                                                                                                  使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

                                                                                                                                                  5

                                                                                                                                                  (可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

                                                                                                                                                  您无需将域设置为与用于获取X.509证书的域匹配。

                                                                                                                                                  6

                                                                                                                                                  保存网络配置并重启虚拟机,使更改生效。

                                                                                                                                                  上传并挂载HDS配置ISO

                                                                                                                                                  此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

                                                                                                                                                  准备工作

                                                                                                                                                  由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

                                                                                                                                                  1

                                                                                                                                                  从您的计算机上传ISO文件:

                                                                                                                                                  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

                                                                                                                                                  2. 在配置标签页的硬件列表中,单击存储空间

                                                                                                                                                  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

                                                                                                                                                  4. 单击“上传文件”图标,然后单击“上传文件”

                                                                                                                                                  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

                                                                                                                                                  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

                                                                                                                                                  2

                                                                                                                                                  安装ISO文件:

                                                                                                                                                  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

                                                                                                                                                  2. 单击 确定以接受限制编辑选项警告。

                                                                                                                                                  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

                                                                                                                                                  4. 检查已连接接通电源时连接

                                                                                                                                                  5. 保存更改并重新启动虚拟机。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  配置用于代理集成的 HDS 节点

                                                                                                                                                  如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

                                                                                                                                                  准备工作

                                                                                                                                                  1

                                                                                                                                                  输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

                                                                                                                                                  2

                                                                                                                                                  转至信任库和代理,然后选择一个选项:

                                                                                                                                                  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
                                                                                                                                                  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
                                                                                                                                                  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:
                                                                                                                                                    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

                                                                                                                                                    2. 代理端口 - 代理用来侦听代理流量的端口号。

                                                                                                                                                    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

                                                                                                                                                    4. 验证类型 - 从以下验证类型中进行选择:

                                                                                                                                                      • - 无需进一步验证。

                                                                                                                                                        适用于 HTTP 或 HTTPS 代理。

                                                                                                                                                      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

                                                                                                                                                        适用于 HTTP 或 HTTPS 代理。

                                                                                                                                                        如果选择此选项,还必须输入用户名和密码。

                                                                                                                                                      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

                                                                                                                                                        仅适用于 HTTPS 代理。

                                                                                                                                                        如果选择此选项,还必须输入用户名和密码。

                                                                                                                                                  按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

                                                                                                                                                  3

                                                                                                                                                  单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

                                                                                                                                                  证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

                                                                                                                                                  4

                                                                                                                                                  单击检查代理连接以测试节点和代理服务器之间的网络连接。

                                                                                                                                                  如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

                                                                                                                                                  如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

                                                                                                                                                  5

                                                                                                                                                  在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

                                                                                                                                                  节点在几分钟内重启。

                                                                                                                                                  7

                                                                                                                                                  节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

                                                                                                                                                  代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

                                                                                                                                                  注册集群中的第一个节点

                                                                                                                                                  此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

                                                                                                                                                  注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

                                                                                                                                                  准备工作

                                                                                                                                                  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

                                                                                                                                                  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

                                                                                                                                                  1

                                                                                                                                                  登录到 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  从屏幕左侧的菜单中选择“服务”。

                                                                                                                                                  3

                                                                                                                                                  在“混合服务”部分,找到混合数据安全,然后单击设置

                                                                                                                                                  出现注册混合数据安全节点页。
                                                                                                                                                  4

                                                                                                                                                  选择表示您已设置节点并准备好注册,然后单击下一步

                                                                                                                                                  5

                                                                                                                                                  在第一个字段中,输入要分配混合数据安全节点的集群的名称。

                                                                                                                                                  建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

                                                                                                                                                  6

                                                                                                                                                  在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

                                                                                                                                                  此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

                                                                                                                                                  出现一条消息,表示您可以将节点注册到Webex。
                                                                                                                                                  7

                                                                                                                                                  单击转至节点。

                                                                                                                                                  8

                                                                                                                                                  单击警告消息中的继续。

                                                                                                                                                  片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
                                                                                                                                                  9

                                                                                                                                                  选中允许访问您的混合数据安全节点复选框,然后单击继续

                                                                                                                                                  您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
                                                                                                                                                  10

                                                                                                                                                  单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

                                                                                                                                                  混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

                                                                                                                                                  创建和注册更多节点

                                                                                                                                                  要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

                                                                                                                                                   

                                                                                                                                                  目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

                                                                                                                                                  准备工作

                                                                                                                                                  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

                                                                                                                                                  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

                                                                                                                                                  1

                                                                                                                                                  从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

                                                                                                                                                  2

                                                                                                                                                  在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

                                                                                                                                                  4

                                                                                                                                                  如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

                                                                                                                                                  5

                                                                                                                                                  注册节点。

                                                                                                                                                  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

                                                                                                                                                  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

                                                                                                                                                    出现“混合数据安全资源”页。
                                                                                                                                                  3. 单击添加资源

                                                                                                                                                  4. 在第一个字段中,选择现有集群的名称。

                                                                                                                                                  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

                                                                                                                                                    出现一条消息,表示您可以将节点注册到Webex云。
                                                                                                                                                  6. 单击转至节点。

                                                                                                                                                    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。
                                                                                                                                                  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

                                                                                                                                                    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
                                                                                                                                                  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

                                                                                                                                                  节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

                                                                                                                                                  下一步

                                                                                                                                                  运行试用并进入生产 阶段(下一章)
                                                                                                                                                  运行试用并转入生产模式

                                                                                                                                                  试用到生产任务流程

                                                                                                                                                  设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

                                                                                                                                                  1

                                                                                                                                                  如果适用,同步 HdsTrialGroup 组对象。

                                                                                                                                                  如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

                                                                                                                                                  2

                                                                                                                                                  激活试用

                                                                                                                                                  开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

                                                                                                                                                  3

                                                                                                                                                  测试混合数据安全部署

                                                                                                                                                  检查关键请求是否传递给您的混合数据安全部署。

                                                                                                                                                  4

                                                                                                                                                  监控混合数据安全运行状况

                                                                                                                                                  检查状态并设置警报的电子邮件通知。

                                                                                                                                                  5

                                                                                                                                                  从试用中添加或删除用户

                                                                                                                                                  6

                                                                                                                                                  通过以下操作之一完成试验阶段:

                                                                                                                                                  激活试用

                                                                                                                                                  准备工作

                                                                                                                                                  如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

                                                                                                                                                  1

                                                                                                                                                  登录 https://admin.webex.com,然后选择 服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“服务状态”部分,单击开始试用

                                                                                                                                                  服务状态将更改为试用模式。
                                                                                                                                                  4

                                                                                                                                                  单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

                                                                                                                                                  (如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

                                                                                                                                                  测试混合数据安全部署

                                                                                                                                                  此程序用于测试混合数据安全加密方案。

                                                                                                                                                  准备工作

                                                                                                                                                  • 设置混合数据安全部署。

                                                                                                                                                  • 激活试用并添加多个试用用户。

                                                                                                                                                  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

                                                                                                                                                  1

                                                                                                                                                  给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


                                                                                                                                                   

                                                                                                                                                  如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

                                                                                                                                                  2

                                                                                                                                                  将消息发送到新空间。

                                                                                                                                                  3

                                                                                                                                                  检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

                                                                                                                                                  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    您应该找到如下条目(为便于阅读而缩写的标识符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    您应该找到以下条目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  监控混合数据安全运行状况

                                                                                                                                                  Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
                                                                                                                                                  1

                                                                                                                                                  Control Hub中,从屏幕左侧的菜单中选择服务

                                                                                                                                                  2

                                                                                                                                                  在“混合服务”部分,找到混合数据安全,然后单击设置

                                                                                                                                                  出现“混合数据安全设置”页。
                                                                                                                                                  3

                                                                                                                                                  在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

                                                                                                                                                  从试用中添加或删除用户

                                                                                                                                                  在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

                                                                                                                                                  如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

                                                                                                                                                  如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

                                                                                                                                                  4

                                                                                                                                                  输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

                                                                                                                                                  从试用过渡到生产

                                                                                                                                                  当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在Service Status部分,单击 Move to Production

                                                                                                                                                  4

                                                                                                                                                  确认您要将所有用户移至生产模式。

                                                                                                                                                  在不进入生产阶段的情况下结束试用

                                                                                                                                                  在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
                                                                                                                                                  1

                                                                                                                                                  登录Control Hub,然后选择服务

                                                                                                                                                  2

                                                                                                                                                  在混合数据安全下,单击设置

                                                                                                                                                  3

                                                                                                                                                  在“停用”区域中,单击停用

                                                                                                                                                  4

                                                                                                                                                  确认您要停用服务并结束试用。

                                                                                                                                                  管理HDS部署

                                                                                                                                                  管理HDS部署

                                                                                                                                                  使用此处描述的任务来管理混合数据安全部署。

                                                                                                                                                  设置集群升级计划

                                                                                                                                                  混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

                                                                                                                                                  要设置升级安排:

                                                                                                                                                  1

                                                                                                                                                  登录到 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在“概述”页面上的混合服务下,选择混合数据安全

                                                                                                                                                  3

                                                                                                                                                  在“混合数据安全资源”页上,选择群集。

                                                                                                                                                  4

                                                                                                                                                  在右侧“概述”面板中的“集群设置”下,选择集群名称。

                                                                                                                                                  5

                                                                                                                                                  在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

                                                                                                                                                  注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

                                                                                                                                                  更改节点配置

                                                                                                                                                  出于以下原因,有时可能需要更改混合数据安全节点的配置:
                                                                                                                                                  • 由于过期或其他原因而需要更改 x.509 证书。


                                                                                                                                                     

                                                                                                                                                    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

                                                                                                                                                  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


                                                                                                                                                     

                                                                                                                                                    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

                                                                                                                                                  • 创建新配置,以准备新的数据中心。

                                                                                                                                                  此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

                                                                                                                                                  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

                                                                                                                                                  • 硬重设 - 旧密码立即作废。

                                                                                                                                                  如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

                                                                                                                                                  使用此过程以生成新的配置 ISO 文件并将其应用于集群。

                                                                                                                                                  准备工作

                                                                                                                                                  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

                                                                                                                                                    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

                                                                                                                                                    描述

                                                                                                                                                    变量

                                                                                                                                                    无身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    无身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTP 代理

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    有身份验证的 HTTPS 代理

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

                                                                                                                                                  1

                                                                                                                                                  使用本地计算机上的 Docker 运行 HDS 设置工具。

                                                                                                                                                  1. 在机器命令行中输入适用于您环境的命令:

                                                                                                                                                    在常规环境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 环境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

                                                                                                                                                  2. 要登录 Docker 映像注册表,请输入以下内容:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密码提示下,输入以下哈希:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下载适用于您环境的最新稳定映像:

                                                                                                                                                    在常规环境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 环境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

                                                                                                                                                  5. 拉取完成后,输入适用于您环境的命令:

                                                                                                                                                    • 在无代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在有 HTTP 代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在有 HTTPS 代理的常规环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在无代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在有 HTTP 代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在有 HTTPS 代理的 FedRAMP 环境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

                                                                                                                                                  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

                                                                                                                                                  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

                                                                                                                                                  8. 导入当前配置 ISO 文件。

                                                                                                                                                  9. 根据提示完成工具并下载更新后的文件。

                                                                                                                                                    要关闭设置工具,请键入 CTRL+C

                                                                                                                                                  10. 在另一个数据中心为更新的文件创建备份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

                                                                                                                                                  1. 安装 HDS 主机 OVA。

                                                                                                                                                  2. 设置 HDS VM。

                                                                                                                                                  3. 安装更新的配置文件。

                                                                                                                                                  4. 在 Control Hub 中注册新节点。

                                                                                                                                                  3

                                                                                                                                                  对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

                                                                                                                                                  1. 关闭虚拟机。

                                                                                                                                                  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

                                                                                                                                                  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

                                                                                                                                                  4. 选中开机时连接

                                                                                                                                                  5. 保存您的更改并打开虚拟机。

                                                                                                                                                  4

                                                                                                                                                  重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

                                                                                                                                                  关闭阻止外部 DNS 解析模式

                                                                                                                                                  当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

                                                                                                                                                  如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

                                                                                                                                                  准备工作

                                                                                                                                                  确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
                                                                                                                                                  1

                                                                                                                                                  在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

                                                                                                                                                  2

                                                                                                                                                  转至概述(缺省页面)。

                                                                                                                                                  启用后,阻止外部 DNS 解析会设置为

                                                                                                                                                  3

                                                                                                                                                  转至信任库和代理页面。

                                                                                                                                                  4

                                                                                                                                                  单击检查代理连接

                                                                                                                                                  如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

                                                                                                                                                  下一步

                                                                                                                                                  在混合数据安全集群中的每个节点上重复代理连接测试。

                                                                                                                                                  删除节点

                                                                                                                                                  使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
                                                                                                                                                  1

                                                                                                                                                  使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

                                                                                                                                                  2

                                                                                                                                                  删除节点:

                                                                                                                                                  1. 登录Control Hub,然后选择服务

                                                                                                                                                  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

                                                                                                                                                  3. 选择簇以显示其概述面板。

                                                                                                                                                  4. 单击 节点列表

                                                                                                                                                  5. 在“节点”选项卡上,选择要删除的节点。

                                                                                                                                                  6. 单击 > 注册节点

                                                                                                                                                  3

                                                                                                                                                  在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

                                                                                                                                                  如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

                                                                                                                                                  使用待机数据中心进行灾难恢复

                                                                                                                                                  混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

                                                                                                                                                  由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

                                                                                                                                                  如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

                                                                                                                                                  下一步

                                                                                                                                                  故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

                                                                                                                                                  (可选)在HDS配置之后卸载ISO

                                                                                                                                                  标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

                                                                                                                                                  您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

                                                                                                                                                  准备工作

                                                                                                                                                  将所有HDS节点升级到版本2021.01.22.4720或更高版本。

                                                                                                                                                  1

                                                                                                                                                  关闭其中一个HDS节点。

                                                                                                                                                  2

                                                                                                                                                  在vCenter Server 中,选择HDS节点。

                                                                                                                                                  3

                                                                                                                                                  选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

                                                                                                                                                  4

                                                                                                                                                  打开HDS节点电源,并确保至少20分钟内没有警报。

                                                                                                                                                  5

                                                                                                                                                  对每个HDS节点依次重复。

                                                                                                                                                  混合数据安全疑难解答

                                                                                                                                                  查看警告和故障诊断

                                                                                                                                                  如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

                                                                                                                                                  • 无法创建新空间(无法创建新密钥)

                                                                                                                                                  • 消息和空间标题无法解密:

                                                                                                                                                    • 添加到空间的新用户(无法获取密钥)

                                                                                                                                                    • 空间中使用新客户端的现有用户(无法获取密钥)

                                                                                                                                                  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

                                                                                                                                                  请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

                                                                                                                                                  警告

                                                                                                                                                  如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

                                                                                                                                                  表 1. 常见问题及其解决步骤

                                                                                                                                                  预警

                                                                                                                                                  操作

                                                                                                                                                  本地数据库访问失败。

                                                                                                                                                  检查数据库错误或本地网络问题。

                                                                                                                                                  本地数据库连接失败。

                                                                                                                                                  检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

                                                                                                                                                  云服务访问失败。

                                                                                                                                                  检查节点是否可以按 连接要求 Webex服务器。

                                                                                                                                                  续订云服务注册。

                                                                                                                                                  云服务的注册已取消。 正在续订注册。

                                                                                                                                                  云服务注册已断开。

                                                                                                                                                  云服务的注册已终止。 服务正在关闭。

                                                                                                                                                  服务尚未激活。

                                                                                                                                                  激活试用或完成将试用转入生产阶段。

                                                                                                                                                  配置的域与服务器证书不匹配。

                                                                                                                                                  确保服务器证书与配置的服务激活域匹配。

                                                                                                                                                  最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

                                                                                                                                                  向云服务验证失败。

                                                                                                                                                  检查服务帐户凭证的准确性和可能的过期时间。

                                                                                                                                                  打开本地密钥库文件失败。

                                                                                                                                                  检查本地密钥库文件的完整性和密码准确性。

                                                                                                                                                  本地服务器证书无效。

                                                                                                                                                  检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

                                                                                                                                                  无法发布指标。

                                                                                                                                                  检查外部云服务的本地网络访问。

                                                                                                                                                  /media/configdrive/hds目录不存在。

                                                                                                                                                  检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

                                                                                                                                                  混合数据安全疑难解答

                                                                                                                                                  对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
                                                                                                                                                  1

                                                                                                                                                  查看Control Hub中的任何警告并修复您在此处找到的任何项目。

                                                                                                                                                  2

                                                                                                                                                  查看来自混合数据安全部署的系统日志服务器输出的活动。

                                                                                                                                                  3

                                                                                                                                                  请联系思科支持人员

                                                                                                                                                  其他备注

                                                                                                                                                  混合数据安全的已知问题

                                                                                                                                                  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

                                                                                                                                                  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

                                                                                                                                                    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

                                                                                                                                                  使用OpenSSL生成PKCS12文件

                                                                                                                                                  准备工作

                                                                                                                                                  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

                                                                                                                                                  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

                                                                                                                                                  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

                                                                                                                                                  • 创建私有密钥。

                                                                                                                                                  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

                                                                                                                                                  1

                                                                                                                                                  当您从CA收到服务器证书时,将其另存为 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  将证书显示为文本并验证详细信息。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用友好名称创建。p12文件 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  检查服务器证书详细信息。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

                                                                                                                                                    例如:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


                                                                                                                                                   

                                                                                                                                                  在原始证书过期时,您可以重复使用这些文件以请求新证书。

                                                                                                                                                  HDS节点和云之间的流量

                                                                                                                                                  出站指标收集流量

                                                                                                                                                  混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

                                                                                                                                                  入站流量

                                                                                                                                                  混合数据安全节点从Webex云接收以下类型的入站流量:

                                                                                                                                                  • 来自客户端的加密请求,由加密服务路由

                                                                                                                                                  • 升级到节点软件

                                                                                                                                                  配置用于混合数据安全的 Squid 代理

                                                                                                                                                  Websocket 无法通过 Squid 代理连接

                                                                                                                                                  检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  添加 on_unsupported_protocol 指令至 squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新信息和更改信息

                                                                                                                                                  日期

                                                                                                                                                  已作更改

                                                                                                                                                  2023年10月20日

                                                                                                                                                  2023年8月7日

                                                                                                                                                  2023年5月23日

                                                                                                                                                  2022年12月6日

                                                                                                                                                  2022年11月23日

                                                                                                                                                  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

                                                                                                                                                    更新了 服务器要求 主题,添加了此验证模式的其他要求。

                                                                                                                                                    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

                                                                                                                                                  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

                                                                                                                                                  2021年1月11日

                                                                                                                                                  添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  更新了下载安装文件

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  更新了测试混合数据安全部署以了解日志消息的更改。

                                                                                                                                                  更新了 主机要求 以删除最大主机数量。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  更新了Control Hub UI中的删除节点更改。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  更新了 主机要求 ,显示ESXi 6.5的新要求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  更新了新的美洲CI主机的外部连接要求

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  更新了有关区域CI主机的外部连接要求

                                                                                                                                                  2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
                                                                                                                                                  2020年2月4日更新了 服务器要求
                                                                                                                                                  2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下部分中添加了有关阻止的外部DNS解析模式的信息:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

                                                                                                                                                  相应更新了以下各节:


                                                                                                                                                   

                                                                                                                                                  在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  将SQL Server标准版添加到 服务器要求

                                                                                                                                                  2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

                                                                                                                                                  要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

                                                                                                                                                  2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
                                                                                                                                                  2019年3月6日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

                                                                                                                                                  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

                                                                                                                                                  2018年11月5日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  更改了术语以反映Cisco Spark的更名:

                                                                                                                                                  • Cisco Spark混合数据安全现为混合数据安全。

                                                                                                                                                  • Cisco Spark应用程序现在是Webex应用程序。

                                                                                                                                                  • Cisco Collaboraton Cloud现在是Webex云。

                                                                                                                                                  2018年4月11日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日

                                                                                                                                                  • 澄清HdsTrialGroup的目录同步。

                                                                                                                                                  • 修复了上传ISO配置文件以安装到VM节点的说明。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次发布

                                                                                                                                                  混合数据安全入门

                                                                                                                                                  混合数据安全概述

                                                                                                                                                  从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

                                                                                                                                                  缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

                                                                                                                                                  安全领域体系结构

                                                                                                                                                  Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

                                                                                                                                                  分离领域(没有混合数据安全)

                                                                                                                                                  为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

                                                                                                                                                  在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

                                                                                                                                                  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

                                                                                                                                                  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

                                                                                                                                                  3. 加密的消息将发送到合规性服务以进行合规性检查。

                                                                                                                                                  4. 加密消息存储在存储领域中。

                                                                                                                                                  部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

                                                                                                                                                  与其他组织协作

                                                                                                                                                  组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

                                                                                                                                                  在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

                                                                                                                                                  对部署混合数据安全的期望

                                                                                                                                                  混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

                                                                                                                                                  要部署混合数据安全,您必须提供:

                                                                                                                                                  完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

                                                                                                                                                  • 管理数据库和配置ISO的备份和恢复。

                                                                                                                                                  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


                                                                                                                                                   

                                                                                                                                                  在HDS部署后,没有将密钥移回云的机制。

                                                                                                                                                  高层设置过程

                                                                                                                                                  本文档介绍了混合数据安全部署的设置和管理:

                                                                                                                                                  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

                                                                                                                                                    设置、试验和生产阶段将在接下来的三章中详细介绍。

                                                                                                                                                  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

                                                                                                                                                  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

                                                                                                                                                  在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

                                                                                                                                                  混合数据安全部署模型

                                                                                                                                                  一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

                                                                                                                                                  群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

                                                                                                                                                  当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

                                                                                                                                                  我们只支持每个组织一个集群。

                                                                                                                                                  混合数据安全试验模式

                                                                                                                                                  设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

                                                                                                                                                  如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

                                                                                                                                                  如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

                                                                                                                                                  用于灾难恢复的备用数据中心

                                                                                                                                                  在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手动故障转移到待机数据中心

                                                                                                                                                  活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


                                                                                                                                                   

                                                                                                                                                  活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

                                                                                                                                                  设置灾难恢复的备用数据中心

                                                                                                                                                  按照以下步骤配置备用数据中心的ISO文件:

                                                                                                                                                  准备工作

                                                                                                                                                  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

                                                                                                                                                  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

                                                                                                                                                  1

                                                                                                                                                  启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


                                                                                                                                                   

                                                                                                                                                  ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

                                                                                                                                                  2

                                                                                                                                                  配置Syslogd服务器后,单击 设置

                                                                                                                                                  3

                                                                                                                                                  设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成配置过程并将ISO文件保存在易于找到的位置。

                                                                                                                                                  5

                                                                                                                                                  在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

                                                                                                                                                  6

                                                                                                                                                  在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

                                                                                                                                                  7

                                                                                                                                                  单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


                                                                                                                                                   

                                                                                                                                                  确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

                                                                                                                                                  8

                                                                                                                                                  打开HDS节点电源,并确保至少15分钟内没有警报。

                                                                                                                                                  9

                                                                                                                                                  为待机数据中心中的每个节点重复该过程。


                                                                                                                                                   

                                                                                                                                                  检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

                                                                                                                                                  下一步

                                                                                                                                                  配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

                                                                                                                                                  代理支持

                                                                                                                                                  混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

                                                                                                                                                  混合数据安全节点支持以下代理选项:

                                                                                                                                                  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

                                                                                                                                                  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

                                                                                                                                                  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS