感谢您的反馈。

将OVA文件下载到本地计算机以供后续使用。

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

从OVA文件创建虚拟机并执行初始配置，例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

登录到VM控制台并设置登录凭证。如果在OVA部署时未配置节点的网络设置，请配置该节点的网络设置。

从使用HDS设置工具创建的ISO配置文件配置VM。

如果网络环境需要代理配置，请指定要用于节点的代理类型，并根据需要将代理证书添加到信任存储区。

向Cisco Webex云注册VM作为混合数据安全节点。

完成群集设置。

运行试用并进入生产阶段（下一章）

在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下载安装文件

在此任务中，您可以将OVA文件下载到计算机（而不是您设置为混合数据安全节点的服务器）。该文件可用于后续的安装过程。

在“混合服务”部分，找到混合数据安全卡，然后单击设置。

如果该卡已禁用或您看不到它，请联系您的客户团队或合作伙伴组织。向他们提供您的帐户号码，并要求为您的组织启用混合数据安全。要查找帐户号码，请单击右上角组织名称旁边的齿轮图标。

您也可以随时从设置页面上的帮助部分下载OVA。在混合数据安全卡上，单击编辑设置以打开页面。然后，单击帮助部分中的下载混合数据安全软件。

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。升级应用程序时可能会出现问题。确保下载OVA文件的最新版本。

选择否表示您尚未设置节点，然后单击下一步。

OVA文件会自动开始下载。将文件保存到计算机上的某个位置。

或者，单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。然后使用ISO配置混合数据安全主机。

准备工作

HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问，请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

如果HDS设置工具在您的环境中的代理后面运行，请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置（服务器、端口、凭证）。此表格提供了一些可能的环境变量：

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在进行配置更改时，您需要该文件的最新副本，例如：
- 数据库凭证
- 证书更新
- 授权策略更改
如果您计划加密数据库连接，请为TLS设置PostgreSQL或SQL Server部署。

在机器命令行中输入适用于您环境的命令：

在常规环境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。

要登录 Docker 映像注册表，请输入以下内容：

docker login -u hdscustomersro

在密码提示下，输入以下哈希：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下载适用于您环境的最新稳定映像：

在常规环境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker pull ciscocitg/hds-setup-fedramp:stable

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost， http://127.0.0.1:8080 ，并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。该工具随后会显示标准登录提示。

出现提示时，输入您的Control Hub客户管理员登录凭证，然后单击登录以允许访问混合数据安全所需的服务。

在Setup Tool概述页面上，单击 Get Started。

在 ISO导入页面上，您有以下选项：

否—如果要创建第一个HDS节点，则没有要上传的ISO文件。
是—如果您已经创建了HDS节点，则可以在浏览中选择ISO文件并上传。

检查您的X.509证书是否符合X.509证书要求中的要求。

如果您之前从未上传过证书，请上传X.509证书，输入密码，然后单击继续。
如果证书确定，请单击继续。
如果您的证书已过期或要替换，请选择否以继续使用HDS证书链和先前ISO的私钥？。上传新的X.509证书，输入密码，然后单击继续。

输入HDS的数据库地址和帐户以访问您的密钥数据存储：

选择您的数据库类型（PostgreSQL 或 Microsoft SQL Server）。

如果选择 Microsoft SQL Server，将会看到“身份验证类型”字段。
（仅Microsoft SQL Server）选择您的验证类型：
- 基本验证：您需要在名字段中提供本地SQL Server帐户名称。
- Windows验证：您需要一个格式为Windows帐户 username@DOMAIN 在用户名字段中。
在表单中输入数据库服务器地址 <hostname>:<port> 或 <IP-address>:<port> 。

例如：
dbhost.example.org:1433 或 198.51.100.17:1433

如果节点无法使用DNS解析主机名，可以使用IP地址进行基本验证。

如果您使用的是Windows验证，则必须以格式输入完全限定域名 dbhost.example.org:1433
输入数据库名称。
在密钥存储数据库中输入具有所有权限的用户的用户名和密码。

选择 <UNK> LS数据库连接模式：

模式

描述

首选 TLS（缺省选项）

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用TLS，节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。
节点还会验证服务器证书中的主机名是否与主机和端口字段中的主机名匹配。名称必须完全匹配，否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

上传根证书（如有必要）并单击继续时，HDS设置工具会测试到数据库服务器的TLS连接。如果适用，该工具还会验证证书签名者和主机名。如果测试失败，该工具会显示一条错误消息，描述相关问题。您可以选择是否忽略错误并继续进行设置。（由于连接差异，即使HDS设置工具机无法成功测试，HDS节点也可能能够建立TLS连接。）

在“系统日志”页面上，配置您的Sy 服务器：

输入系统日志服务器URL。

如果服务器无法从HDS群集的节点解析DNS，请在URL中使用IP地址。

例如：
udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
如果您将服务器设置为使用TLS加密，请检查您的系统日志服务器是否配置了SSL加密？。

如果选中此复选框，请确保输入TCP URL，例如 tcp://10.92.43.23:514 。
从选择系统日志记录终止下拉列表中，为您的ISO文件选择适当的设置： Select或Newline用于Graylog和Rsyslog TCP
- 字节为空-- \x00
- Newline -- \n-为Graylog和Rsyslog TCP选择此选项。
单击继续。

（可选）您可以在高级设置中更改某些数据库连接参数的默认值。通常，此参数是您唯一可能要更改的参数：

app_datasource_connection_pool_maxSize: 10

单击重置服务帐户密码屏幕上的继续。

服务帐户密码的有效期为九个月。当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

单击 ISO文件。将文件保存在易于查找的位置。

在本地系统上备份ISO文件。

确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

要关闭设置工具，请键入 CTRL+C 。

下一步

备份配置ISO文件。您需要它来创建更多用于恢复的节点，或进行配置更改。如果丢失ISO文件的所有副本，您也会丢失主密钥。无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从来没有这个密钥的副本，如果你丢失了它，我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

选择“文件 > 部署 OVF 模板”。

在向导中，指定您之前下载的OVA文件的位置，然后单击 下一步。

在 选择名称和文件夹 页，输入 拟机名称 对于节点（例如“HDS_ode_1”），选择虚拟机节点部署可以驻留的位置，然后单击 下一步。

在 计算资源 页，选择目标计算资源，然后单击 下一步。

运行验证检查。完成后，将显示模板详细信息。

验证模板详细信息，然后单击下一步。

如果您被要求在 上选择资源配置 页，单击 4个CPU，然后单击 下一步。

在 存储空间 页，单击 下一步 接受默认磁盘格式和VM存储策略。

在网络页，从条目列表中选择网络选项以提供所需的VM连接。

在自定义模板页面上，配置以下网络设置：

主机名—输入FQDN（主机名和域）或节点的单字主机名。

您无需将域设置为与用于获取X.509证书的域匹配。
要确保成功注册到云，请在为节点设置的FQDN或主机名中仅使用小写字符。目前不支持大写字符。
FQDN 的总长度绝不得超过 64 个字符。

IP地址 -输入节点内部接口的IP地址。

节点应具有内部IP地址和DNS名称。不支持DHCP。
掩码-以点数表示输入子网掩码地址。例如，255.255.255.0。
网关—输入网关IP地址。网关是一个网络节点，可作为另一个网络的接入点。
DNS服务器-输入以逗号分隔的DNS服务器列表，用于将域名转换为数字IP地址。（最多允许4个DNS条目。）
NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。缺省NTP服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个NTP服务器。

在同一子网或VLAN上部署所有节点，以便出于管理目的，可以从网络中的客户端访问群集中的所有节点。

如果您愿意，可以跳过网络设置配置，然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

右键单击节点虚拟机，然后选择 > 电。

混合数据安全软件作为访客安装在VM主机上。您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前，您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息，此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。如果在部署OVA时未配置节点，也可以使用控制台配置节点的网络设置。

1	在VMware vSphere客户端中，选择混合数据安全节点VM，然后选择控制台选项卡。 VM启动并显示登录提示。如果没有显示登录提示，请按 Enter 键。
2	使用以下缺省登录和密码登录并更改凭证：登录名： `admin` 密码： `cisco` 由于您是首次登录VM，您需要更改管理员密码。
3	如果您已经在安装HDS主机OVA中配置了网络设置，请跳过此程序的其余部分。否则，在主菜单中选择编辑配置选项。
4	使用IP地址、掩码、网关和DNS信息设置静态配置。节点应具有内部IP地址和DNS名称。不支持DHCP。
5	（可选）根据需要更改主机名、域或NTP服务器，以匹配您的网络策略。您无需将域设置为与用于获取X.509证书的域匹配。
6	保存网络配置并重启虚拟机，使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

由于ISO文件持有主密钥，因此它只应在“需要知道”的基础上公开，以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。请确保只有这些管理员可以访问数据存储。

从您的计算机上传ISO文件：

在VMware vSphere客户端的左侧导航窗格中，单击ESXi服务器。
在配置标签页的硬件列表中，单击存储空间。
在数据存储列表中，右键单击VM的数据存储，然后单击浏览数据存储。
单击“上传文件”图标，然后单击“上传文件”。
浏览到您将ISO文件下载到计算机上的位置，然后单击打开。
单击是接受上传/下载操作警告，并关闭数据存储对话框。

安装ISO文件：

在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击确定以接受限制编辑选项警告。
单击 CD/DVD Drive 1 ，选择从数据存储ISO文件安装的选项，然后浏览到您上传配置ISO文件的位置。
检查已连接和接通电源时连接。
保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求，您可以选择在所有节点获取配置更改后卸载ISO文件。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

如果网络环境需要代理，请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理，则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接，并对任何潜在问题进行故障诊断。

准备工作

请参阅支持受支持代理选项的概述。
代理服务器要求

1	输入HDS节点设置URL `https://[HDS Node IP or FQDN]/setup` 在Web浏览器中，输入您为节点设置的管理员凭证，然后单击登录。
2	转至信任库和代理，然后选择一个选项：无代理 - 集成代理之前的缺省选项。无需证书更新。透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。透明检查代理 - 节点没有配置为使用特定代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改，但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。显式代理 - 使用显式代理时，您可以告诉客户端（HDS 节点）要使用哪个代理服务器，并且此选项支持多种验证类型。选择此选项后，您必须输入以下信息：代理 IP/FQDN - 可用于访问代理机器的地址。代理端口 - 代理用来侦听代理流量的端口号。代理协议 - 选择 http（查看和控制从客户端接收的所有请求）或 https（提供到达服务器的通道以及客户端接收和验证服务器证书的通道）。根据代理服务器支持的内容选择一个选项。验证类型 - 从以下验证类型中进行选择：无 - 无需进一步验证。适用于 HTTP 或 HTTPS 代理。基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。适用于 HTTP 或 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。仅适用于 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。
3	单击上传根证书或最终实体证书，然后导航以选择代理的根证书。证书已上传但尚未安装，因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息，如果您操作错误并希望重新上传文件，请单击删除。
4	单击检查代理连接以测试节点和代理服务器之间的网络连接。如果连接测试失败，您将看到一条错误消息，其中显示了错误原因以及解决方法。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置，节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是错误，请完成这些步骤，然后查看关闭阻止的外部DNS解析模式。
5	在连接测试通过后，对于设置为仅限 https 的显式代理，打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。
6	单击将所有证书安装到信任库（对 HTTPS 显式代理或透明检查代理显示）或重启（对 HTTP 显式代理显示），阅读提示，然后在准备就绪后单击安装。节点在几分钟内重启。
7	节点重启后，重新登录（如需要），然后打开概述页面以执行连接检查，确保它们均为绿色状态。代理连接检查仅测试 webex.com 的子域。如果存在连接问题，常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点，向Webex云注册节点，然后将其转换为混合数据安全节点。

注册首个节点时，需要创建要将该节点分配到的集群。群集包含一个或多个用于提供冗余的节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	登录到 https://admin.webex.com。
2	从屏幕左侧的菜单中选择“服务”。
3	在“混合服务”部分，找到混合数据安全，然后单击设置。出现注册混合数据安全节点页。
4	选择是表示您已设置节点并准备好注册，然后单击下一步。
5	在第一个字段中，输入要分配混合数据安全节点的集群的名称。建议您基于群集节点的地理位置来命名该群集。例如： “旧金山”或“纽约”或“达拉斯”
6	在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。出现一条消息，表示您可以将节点注册到Webex。
7	单击转至节点。
8	单击警告消息中的继续。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认要向Webex组织授予访问您节点的权限。
9	选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。
10	单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。在混合数据安全页面上，将显示包含您注册的节点的新集群。该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点，只需创建其他VM并安装相同的配置ISO文件，然后注册该节点。我们建议您至少拥有3个节点。

目前，您在完成混合数据安全的先决条件中创建的备份VM是备用主机，仅在灾难恢复情况下使用；在此之前，它们不会向系统注册。有关详细信息，请参阅使用待机数据中心的灾难恢复。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	从OVA创建新虚拟机，重复安装HDS主机OVA中的步骤。
2	在新VM上设置初始配置，重复设置混合数据安全VM中的步骤。
3	在新的VM上，重复“上传并挂载HDS配置ISO”中的步骤。
4	如果要为部署设置代理，请根据需要为新节点重复为代理集成配置HDS节点中的步骤。
5	注册节点。在 https://admin.webex.com 中，从屏幕左侧的菜单中选择“服务”。在“混合服务”部分，找到混合数据安全卡，然后单击“资源”(Resources)。出现“混合数据安全资源”页。单击添加资源。在第一个字段中，选择现有集群的名称。在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。出现一条消息，表示您可以将节点注册到Webex云。单击转至节点。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认是否要向组织授予访问节点的权限。选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。节点已注册。请注意，在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下一步

运行试用并进入生产阶段（下一章）

运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后，您可以启动试点，向其添加用户，并开始使用它来测试和验证您的部署，为进入生产阶段做好准备。

准备工作

1	如果适用，同步 `HdsTrialGroup` 组对象。如果您的组织对用户使用目录同步，则必须选择 `HdsTrialGroup` 先对对象进行分组，以便同步到云，然后才能开始试用。有关说明，请参阅《Cisco目录连接器的指南》。
2	激活试用开始试用。在执行此任务之前，节点将生成警报，指示服务尚未激活。
3	测试混合数据安全部署检查关键请求是否传递给您的混合数据安全部署。
4	监控混合数据安全运行状况检查状态并设置警报的电子邮件通知。
5	从试用中添加或删除用户
6	通过以下操作之一完成试验阶段：从试用过渡到生产在不进入生产阶段的情况下结束试用

激活试用

准备工作

如果您的组织对用户使用目录同步，则必须选择 HdsTrialGroup 在为组织开始试用之前，先对对象进行组合以同步到云。有关说明，请参阅《Cisco目录连接器的指南》。

1	登录 https://admin.webex.com，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”部分，单击开始试用。服务状态将更改为试用模式。
4	单击添加用户，输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步，请使用Active Directory管理试用组， `HdsTrialGroup` 列表）

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志，以验证关键请求是否传递给混合数据安全部署。

给定空间的键由空间创建者设置。作为试点用户之一登录Webex应用程序，然后创建空间并邀请至少一个试点用户和一个非试点用户。

如果停用混合数据安全部署，则一旦替换了客户端缓存的加密密钥副本，将无法再访问试点用户创建的空间中的内容。

将消息发送到新空间。

检查系统日志输出，以验证关键请求是否传递给混合数据安全部署。

要在建立到KMS的安全通道之前检查用户，请在 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION:

您应该找到如下条目（为便于阅读而缩写的标识符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

要检查从KMS请求现有密钥的用户，请在 kms.data.method=retrieve 和 kms.data.type=KEY:

您应该找到以下条目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

要检查是否有用户请求创建新的KMS密钥，请按 kms.data.method=create 和 kms.data.type=KEY_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户，请在 kms.data.method=create 和 kms.data.type=RESOURCE_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。要更主动地警报，请注册电子邮件通知。出现影响服务的警报或软件升级时，您将收到通知。

1	在 Control Hub中，从屏幕左侧的菜单中选择服务。
2	在“混合服务”部分，找到混合数据安全，然后单击设置。出现“混合数据安全设置”页。
3	在电子邮件通知部分，输入一个或多个以逗号分隔的电子邮件地址，然后按 Enter。

从试用中添加或删除用户

在激活试用并添加初始试用用户集后，您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户，用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。如果客户端需要存储在KMS上的密钥，云KMS将代表用户获取密钥。

如果您的组织使用目录同步，请使用Active Directory（而非此程序）管理试用组， HdsTrialGroup ；您可以在Control Hub中查看组成员，但无法添加或删除他们。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”区域的“试用模式”部分中，单击添加用户，或单击查看和编辑将用户从试用中删除。
4	输入要添加的一个或多个用户的电子邮件地址，或者通过用户ID单击 X 将该用户从试用中删除。然后单击保存。

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时，可以进入生产阶段。进入生产阶段后，组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。除非在灾难恢复过程中停用该服务，否则您无法从生产中恢复到试用模式。重新激活该服务需要您设置新的试用。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在Service Status部分，单击 Move to Production。
4	确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

在试用期间，如果您决定不继续部署混合数据安全，可以停用混合数据安全，从而结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用期间加密的数据。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“停用”区域中，单击停用。
4	确认您要停用服务并结束试用。

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在群集级别自动完成，可确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时，您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排：美国洛杉矶当地时间每日凌晨 3 点。若有必要，您还可以选择推迟即将进行的升级。

要设置升级安排：

1	登录到 Control Hub。
2	在“概述”页面上的混合服务下，选择混合数据安全。
3	在“混合数据安全资源”页上，选择群集。
4	在右侧“概述”面板中的“集群设置”下，选择集群名称。
5	在“设置”页面中的“升级”下方，为升级安排选择时间与时区。注：下一可用升级的日期与时间显示在时区下。如有需要，您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因，有时可能需要更改混合数据安全节点的配置：

由于过期或其他原因而需要更改 x.509 证书。

我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

更新数据库设置，以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server，或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境，请启动新的混合数据安全部署。

创建新配置，以准备新的数据中心。

此外，出于安全考虑，混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后，您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时，您会收到 Webex 团队发送的通知，以重设机器帐户的密码。（该电子邮件内容为“请使用机器帐户 API 来更新密码。”）如果密码尚未到期，该工具会为您提供两个选项：

软重设 - 旧密码和新密码均最多使用 10 天。在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。

如果密码过期而未重设，其将影响 HDS 服务，需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

如果HDS设置工具在您的环境中的代理后面运行，请在 1.e中调出Docker容器时，通过Docker环境变量提供代理设置（服务器、端口、凭证）。此表格提供了一些可能的环境变量：

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要当前配置 ISO 文件的副本，才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO，包括数据库凭证、证书更新或授权策略的变更。

使用本地计算机上的 Docker 运行 HDS 设置工具。

在机器命令行中输入适用于您环境的命令：
在常规环境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。
要登录 Docker 映像注册表，请输入以下内容：
```
docker login -u hdscustomersro
```
在密码提示下，输入以下哈希：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下载适用于您环境的最新稳定映像：
在常规环境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

使用浏览器连接到本地主机，。 http://127.0.0.1:8080 。

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。
出现提示时，输入您的 Control Hub 客户登录凭证，然后单击接受继续操作。
导入当前配置 ISO 文件。
根据提示完成工具并下载更新后的文件。

要关闭设置工具，请键入 CTRL+C 。
在另一个数据中心为更新的文件创建备份副本。

如果您仅运行一个 HDS 节点，请创建新的混合数据安全节点 VM，并使用新的配置 ISO 文件将其注册。 有关更多详细说明，请参阅创建和注册更多节点。

安装 HDS 主机 OVA。
设置 HDS VM。
安装更新的配置文件。
在 Control Hub 中注册新节点。

对于运行旧配置文件的现有 HDS 节点，请设置 ISO 文件。请依次在每个节点上执行以下步骤，在关闭下一节点之前更新每个节点：

关闭虚拟机。
在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1，选择用于从 ISO 文件进行安装的选项，然后浏览到您下载新的配置 ISO 文件的位置。
选中开机时连接。
保存您的更改并打开虚拟机。

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时，流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称，节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称，则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称，并且您的节点可以与其通信。

1	在Web浏览器中，打开混合数据安全节点界面(例如，IP地址/设置，https://192.0.2.0/setup), 输入为节点设置的管理员凭证，然后单击 In。
2	转至概述（缺省页面）。启用后，阻止外部 DNS 解析会设置为是。
3	转至信任库和代理页面。
4	单击检查代理连接。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器并将保持此模式。否则，在您重启节点并返回概述页面后，阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从群集中删除节点后，删除虚拟机以防止进一步访问您的安全数据。

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

删除节点：

登录Control Hub，然后选择服务。
在混合数据安全卡上，单击查看全部以显示“混合数据安全资源”页。
选择簇以显示其概述面板。
单击节点列表。
在“节点”选项卡上，选择要删除的节点。
单击 > 注册节点。

在vSphere客户端中，删除VM。（在左侧导航窗格中，右键单击VM，然后单击删除。）

如果不删除虚拟机，请记得卸载配置ISO文件。如果没有ISO文件，您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。对于组织内分配到混合数据安全的每个用户，新的密钥创建请求都会路由到集群。群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户，例如对话空间的成员。

由于群集执行提供这些密钥的关键功能，因此群集必须保持运行并维护适当的备份。丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。为防止此类损失，必须采取以下措施：

如果灾难导致主数据中心中的HDS部署不可用，请按照此程序手动将故障转移到备用数据中心。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

配置Syslogd服务器后，单击设置

在高级设置页面上，在下面添加配置或删除 passiveMode 使节点活动的配置。配置后，节点可以处理流量。


passiveMode: 'false'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志输出，以验证备用数据中心的节点未处于被动模式。系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后，如果主数据中心再次变为活动状态，请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

（可选）在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。但是，有些客户不希望ISO文件连续安装。您可以在所有HDS节点接受新配置后卸载ISO文件。

您仍使用ISO文件进行配置更改。当您通过设置工具创建新的ISO或更新ISO时，必须在所有HDS节点上安装更新的ISO。在所有节点获取配置更改后，您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1	关闭其中一个HDS节点。
2	在vCenter Server 中，选择HDS节点。
3	选择设置 > <UNK> /DVD驱动器并取消选中存储器ISO文件。
4	打开HDS节点电源，并确保至少20分钟内没有警报。
5	对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

如果群集中的所有节点都无法访问，或者群集工作非常缓慢以至于请求超时，则认为混合数据安全部署不可用。如果用户无法访问混合数据安全群集，他们会遇到以下症状：

无法创建新空间（无法创建新密钥）
消息和空间标题无法解密：
- 添加到空间的新用户（无法获取密钥）
- 空间中使用新客户端的现有用户（无法获取密钥）
只要其客户端拥有加密密钥缓存，空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报，以避免服务中断。

警告

如果混合数据安全设置出现问题，Control Hub会向组织管理员显示警告，并向配置的电子邮件地址发送电子邮件。警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤
预警	操作
本地数据库访问失败。	检查数据库错误或本地网络问题。
本地数据库连接失败。	检查数据库服务器是否可用，并且节点配置中使用了正确的服务帐户凭证。
云服务访问失败。	检查节点是否可以按连接要求 Webex服务器。
续订云服务注册。	云服务的注册已取消。正在续订注册。
云服务注册已断开。	云服务的注册已终止。服务正在关闭。
服务尚未激活。	激活试用或完成将试用转入生产阶段。
配置的域与服务器证书不匹配。	确保服务器证书与配置的服务激活域匹配。最可能的原因是证书CN最近发生了更改，现在与初始设置期间使用的CN不同。
向云服务验证失败。	检查服务帐户凭证的准确性和可能的过期时间。
打开本地密钥库文件失败。	检查本地密钥库文件的完整性和密码准确性。
本地服务器证书无效。	检查服务器证书的到期日期，并确认它是由受信任的证书颁发机构颁发的。
无法发布指标。	检查外部云服务的本地网络访问。
/media/configdrive/hds目录不存在。	检查虚拟主机上的ISO安装配置。验证ISO文件是否存在，是否已配置为在重启时安装，以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时，请遵循以下一般准则。

1	查看Control Hub中的任何警告并修复您在此处找到的任何项目。
2	查看来自混合数据安全部署的系统日志服务器输出的活动。
3	请联系思科支持人员。

其他备注

混合数据安全的已知问题

如果您关闭混合数据安全群集（通过在Control Hub中删除该群集或关闭所有节点）、丢失配置ISO文件或失去对密钥库数据库的访问权限，Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。这适用于试用版和量产版部署。我们目前没有解决此问题的变通方法或修复方法，我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间（可能为一小时）。当用户成为混合数据安全试用的成员时，用户的客户端将继续使用现有的ECDH连接，直到超时。或者，用户可以注销并重新登录到Webex应用程序，以更新应用程序用于加密密钥的联系人位置。

当您为组织将试用转入生产模式时，也会发生相同的行为。所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务，直到ECDH连接重新协商（通过超时或注销和重新登录）。

使用OpenSSL生成PKCS12文件

准备工作

OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。还有其他方法可以做到这一点，我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL，我们提供此程序作为指导，帮助您创建符合X.509证书要求中的X.509证书要求的文件。请先了解这些要求，然后再继续。
在支持的环境中安装OpenSSL。有关软件和文档，请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。

1	当您从CA收到服务器证书时，将其另存为 `hdsnode.pem` 。
2	将证书显示为文本并验证详细信息。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文本编辑器创建名为证书捆绑包的文件。 `hdsnode-bundle.pem` 。捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用友好名称创建。p12文件 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	检查服务器证书详细信息。 `openssl pkcs12 -in hdsnode.p12` 在提示处输入密码以加密私钥，使其在输出中列出。然后，验证私钥和第一个证书是否包含线路 `friendlyName: kms-private-key`。例如： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合数据安全的前提条件。您将使用 hdsnode.p12 在为HDS主机创建配置ISO中为其设置的文件和密码。

在原始证书过期时，您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

混合数据安全节点将某些指标发送到Webex云。其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标；同步和异步线程指标；涉及加密连接阈值、延迟或请求队列长度的警报指标；数据存储指标；以及加密连接指标。节点通过带外（与请求分离）通道发送加密密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量：

来自客户端的加密请求，由加密服务路由
升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:)，这是混合数据安全所需的连接。这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量，以便服务正常运行。

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性，并将以下规则添加到 squid.conf 。随着我们不断开发功能和更新 Webex 云，这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新信息和更改信息

日期

已作更改

2023年10月20日

更新了服务器要求信息。
添加了灾难恢复的待机数据中心。
在用于灾难恢复的备用数据中心和使用备用数据中心的灾难恢复中更新了信息。

2023年8月7日

在下载安装文件中添加了说明。
在为HDS主机创建配置ISO和更改节点配置中添加了说明。

2023年5月23日

通过联系客户团队请求启用功能的服务器要求中删除的信息。
更新外部连接要求中的信息并将加拿大添加到CI主机表格。
在部署混合数据安全的期望中添加了关于将密钥移回云端的机制不可用的说明。

2022年12月6日

HDS设置工具映像现在托管在 ciscocitg dockerhub 存储库。
更新了为HDS主机创建配置ISO 和更改节点配置主题以重新处理命令中的更改。

2022年11月23日

HDS节点现在可以对Microsoft SQL Server使用Windows验证。

更新了服务器要求主题，添加了此验证模式的其他要求。

更新了使用在节点上配置Windows验证的程序 HDS主机的配置ISO。
使用新的最低要求版本(PostgreSQL 10)更新了服务器要求主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。请参阅 ker桌面要求（Docker桌面要求）。

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。有关详细信息，请参阅 OpenSSL生成PKCS12文件。

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。有关详细信息，请参阅虚拟主机要求。

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件。

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO，并通过更改登录过程来更改节点配置。

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了主机要求以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机配置ISO ，以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了主机要求，显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求。

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求。

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。

2020年2月4日更新了服务器要求。

2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。

2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息：

代理支持
配置用于代理集成的 HDS 节点
关闭阻止外部 DNS 解析模式

2019 年 11 月 8 日

现在，您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节：

混合数据安全部署任务流程
安装HDS主机OVA
设置混合数据安全虚拟机

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到服务器要求。

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录，附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。

2019 年 8 月 20 日

添加并更新了部分，以涵盖对混合数据安全节点与Webex云通信的代理支持。

代理支持
代理服务器要求
配置用于代理集成的 HDS 节点

要仅访问现有部署的代理支持内容，请参阅混合数据安全的支持和Webex视频网帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”，并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步，则在开始试用之前对对象进行分组。

2019年3月6日

将要求和前提条件移到单独的一章中，准备您的环境。
在设置混合数据安全群集一章中添加了混合数据安全部署任务流程概述。

请注意，在您开始试用之前（使用后续章节中的说明），您的节点会生成警报，指示您的服务尚未激活。
在“运行试用并转入生产”一章中添加了试用到生产中的任务流程。

2019 年 2 月 28 日

更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量，从50 GB到20 GB，以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接，以及与支持TLS的系统日志服务器的加密日志连接。更新了说明为HDS主机创建配置ISO 。
从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前，我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日

在为HDS主机创建配置ISO和更改节点配置中添加了清理任何现有docker HDS实例的初步步骤。
更新了为HDS主机创建配置ISO以匹配接口的密钥访问级别步骤。

2018 年 10 月 19 日

在完成混合数据安全的前提条件中，将防火墙连接信息拆分为节点要求和ISO配置机器要求。

2018 年 7 月 31 日

添加了端口22（SSH访问）和有关NAT和防火墙连接的信息，以完成混合数据安全的前提条件。

2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名：

Cisco Spark混合数据安全现为混合数据安全。
Cisco Spark应用程序现在是Webex应用程序。
Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日

已添加用于灾难恢复的待机数据中心。
更新了完成混合数据安全的前提条件，以指定备份环境应位于不同的数据中心。
已更新待机数据中心的灾难恢复。

2018 年 2 月 22 日

在为HDS主机创建配置ISO 和更改节点配置中，添加了有关服务帐户密码9个月有效期以及使用HDS设置工具重置服务帐户密码的信息。

2018 年 2 月 15 日

在 <UNK> 。509证书要求表中指定证书不能是通配符证书，并且KMS使用CN域，而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

添加了附录， <UNK> DS节点和云之间的流量。
已从混合数据安全的已知问题中删除一个已解决的问题。
已将index.docker。io更改为*。docker。io并将*。cloudfront.net添加到混合数据安全的前提条件 HDS节点的TCP连接要求列表中。
更新了为HDS主机创建配置ISO ，以指示如果数据库主机和Syslogd服务器无法从HDS节点解析DNS，则必须使用IP地址配置它们。

2017年11月2日

澄清HdsTrialGroup的目录同步。
修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域，如下所示。

在此图中，客户端是运行在用户笔记本电脑上的Webex应用程序，并已通过身份服务进行身份验证。当用户编写要发送到空间的消息时，将执行以下步骤：

客户端与密钥管理服务(KMS)建立安全连接，然后请求密钥对消息进行加密。安全连接使用ECDH，KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。客户端将其发送到索引服务，该服务创建加密的搜索索引，以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。

部署混合数据安全时，将安全领域功能（KMS、索引和合规性）移至本地数据中心。构成Webex的其他云服务（包括身份和内容存储）仍保留在Cisco的领域。

与其他组织协作

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺，并了解拥有加密密钥所带来的风险。

要部署混合数据安全，您必须提供：

位于Cisco Webex Teams计划支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。

管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复，例如数据库磁盘故障或数据中心灾难。

在HDS部署后，没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理：

设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件，在试用模式下使用部分用户对部署进行测试，以及在测试完成后进入生产阶段。这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。您的IT部门可以为此部署提供一级支持，并根据需要聘请Cisco支持人员。您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题，本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内，您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。节点通过安全Websoc 和安全HTTP与Webex云通信。

混合数据安全部署模型

群集中的所有节点访问同一密钥数据存储，并将活动记录到同一系统日志服务器。节点本身是无状态的，并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时，节点将变为活动状态。要使单个节点退出服务，您可以取消注册，然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

用于灾难恢复的备用数据中心

在部署期间，您可以设置安全的备用数据中心。在数据中心发生灾难时，您可以手动将部署失败到备用数据中心。

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件：

准备工作

备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如，如果生产中有3个运行HDS节点的VM，则备份环境应该有3个VM。（请参阅用于灾难恢复的待机数据中心，了解此故障转移模型的概述。）
确保在主动和被动群集节点的数据库之间启用数据库同步。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

配置Syslogd服务器后，单击设置

在设置上，添加下面的配置以将节点置于被动模式。在此模式下，节点将注册到组织并连接到云，但不会处理任何流量。


passiveMode: 'true'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志以验证节点是否处于被动模式。您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

代理支持

混合数据安全节点支持以下代理选项：

无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理，这是缺省选项。无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是，节点需要根证书，以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。
显式代理 - 使用显式代理时，您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。要配置显式代理，您必须在每个节点上输入以下信息：
1. 代理 IP/FQDN - 可用于访问代理机器的地址。
2. 代理端口 - 代理用来侦听代理流量的端口号。
3. 代理协议 - 根据代理服务器支持的内容，选择以下协议之一：
  - HTTP - 查看和控制客户端发送的所有请求。
  - HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。
4. 验证类型 - 从以下验证类型中进行选择：
  - 无 - 无需进一步验证。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
  - 基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。
  - 摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。
    
    仅当您选择 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

阻止外部 DNS 解析模式（显式代理配置）

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全：

您必须拥有Pro Pack for Cisco Webex Control Hub。（请参阅 https://www.cisco.com/go/pro-pack。）

Docker Desktop要求

X.509证书要求

证书链必须满足以下要求：

表 1. 混合数据安全部署的X.509证书要求
要求	详细信息
由受信任的证书颁发机构(CA)签名	默认情况下，我们信任Mozilla列表中的CA（WoSign和StartCom除外），网址为 https://wiki.mozilla.org/CA:IncludedCAs。
标识混合数据安全部署的公用名(CN)域名不是通配符证书	CN无需可接通或为实时主持人。我们建议您使用反映您的组织的名称，例如， `hds.company.com` 。 CN不能包含*（通配符）。 CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。您的KMS使用CN域标识自己，而不是x.509v3 SAN字段中定义的任何域。使用此证书注册节点后，我们不支持更改CN域名。选择可以同时应用于试用版和生产版部署的域。
非SHA1签名	KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。
格式化为受密码保护的PKCS #12文件使用昵称： `kms-private-key` 来标记证书、私钥以及要上传的任何中间证书。	您可以使用转换器（例如OpenSSL）来更改证书的格式。运行HDS设置工具时，您需要输入密码。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求：

至少有两个独立的主机（推荐3个）位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5（或更高版本）。

如果您有较早版本的ESXi，则必须升级。
每台服务器至少有4个vCPU，8-GB主内存，30 GB本地硬盘空间

数据库服务器要求

创建密钥存储的新数据库。请勿使用默认数据库。 HDS应用程序安装后，创建数据库架构。

数据库服务器有两个选项。每一项的要求如下：

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

PostgreSQL 14、15或16，已安装并运行。

已安装SQL Server 2016、2017或2019（企业版或标准版）。

SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控，以确保其不超过上限（如果要长时间运行数据库而不需要增加存储空间，建议使用2TB）

HDS软件当前安装以下驱动程序版本，以便与数据库服务器通信：

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On（Always On故障转移群集实例和Always On可用性组）。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库，则需要在您的环境中进行以下配置：

HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。请参阅注册Kerberos连接的服务主体名称。

HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。在请求通过Kerberos验证访问时，他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接：

应用程序	协议	端口	应用程序的方向	目标位置
混合数据安全节点	TCP	443	出站HTTPS和WSS	Webex服务器： .wbx2.com .ciscospark.com 所有通用标识主机在 bex服务的网络要求的 bex混合服务的其他URL 中列出了用于混合数据安全的其他URL
HDS设置工具	TCP	443	出站HTTPS	*.wbx2.com 所有通用标识主机 hub.docker.com

通用标识(CI)主机的URL是区域特定的。以下是当前的CI主持人：

地区	通用标识主机URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

代理服务器要求

我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

透明代理 - Cisco Web 安全设备 (WSA)。

显式代理 - Squid。

用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。要解决此问题，请参阅为混合数据安全配置Squid Proxies。

我们支持显式代理的以下验证类型组合：
- 不进行 HTTP 或 HTTPS 验证
- 进行 HTTP 或 HTTPS 基本验证
- 仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理，您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题，绕过（不检查）流量至 wbx2.com 和 ciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。

为HDS部署选择域名(例如， hds.company.com)，并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须满足 X.509证书要求中的要求。

根据服务器要求，准备用作群集密钥数据存储的数据库服务器。数据库服务器必须与虚拟主机共享在安全数据中心。

创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后，创建数据库架构。)
收集节点用于与数据库服务器通信的详细信息：
- 主机名称或IP地址（主机）和端口
- 用于密钥存储的数据库名称(dbname)
- 具有密钥存储数据库所有权限的用户的用户名和密码

设置系统日志主机以从群集中的节点收集日志。收集其网络地址和系统日志端口（默认为UDP 514）。

由于混合数据安全节点存储用于加密和解密内容的密钥，如果无法维护运行部署，将导致该内容无法恢复的丢失。

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

要安装和运行HDS设置工具，本地机器必须具有外部连接要求中列出的连接。

如果要将代理与混合数据安全集成，请确保其符合代理服务器要求。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

将OVA文件下载到本地计算机以供后续使用。

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

从OVA文件创建虚拟机并执行初始配置，例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

登录到VM控制台并设置登录凭证。如果在OVA部署时未配置节点的网络设置，请配置该节点的网络设置。

从使用HDS设置工具创建的ISO配置文件配置VM。

如果网络环境需要代理配置，请指定要用于节点的代理类型，并根据需要将代理证书添加到信任存储区。

向Cisco Webex云注册VM作为混合数据安全节点。

完成群集设置。

运行试用并进入生产阶段（下一章）

在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下载安装文件

在此任务中，您可以将OVA文件下载到计算机（而不是您设置为混合数据安全节点的服务器）。该文件可用于后续的安装过程。

在“混合服务”部分，找到混合数据安全卡，然后单击设置。

您也可以随时从设置页面上的帮助部分下载OVA。在混合数据安全卡上，单击编辑设置以打开页面。然后，单击帮助部分中的下载混合数据安全软件。

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。升级应用程序时可能会出现问题。确保下载OVA文件的最新版本。

选择否表示您尚未设置节点，然后单击下一步。

OVA文件会自动开始下载。将文件保存到计算机上的某个位置。

或者，单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。然后使用ISO配置混合数据安全主机。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在进行配置更改时，您需要该文件的最新副本，例如：
- 数据库凭证
- 证书更新
- 授权策略更改
如果您计划加密数据库连接，请为TLS设置PostgreSQL或SQL Server部署。

在机器命令行中输入适用于您环境的命令：

在常规环境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。

要登录 Docker 映像注册表，请输入以下内容：

docker login -u hdscustomersro

在密码提示下，输入以下哈希：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下载适用于您环境的最新稳定映像：

在常规环境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker pull ciscocitg/hds-setup-fedramp:stable

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost， http://127.0.0.1:8080 ，并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。该工具随后会显示标准登录提示。

出现提示时，输入您的Control Hub客户管理员登录凭证，然后单击登录以允许访问混合数据安全所需的服务。

在Setup Tool概述页面上，单击 Get Started。

在 ISO导入页面上，您有以下选项：

否—如果要创建第一个HDS节点，则没有要上传的ISO文件。
是—如果您已经创建了HDS节点，则可以在浏览中选择ISO文件并上传。

检查您的X.509证书是否符合X.509证书要求中的要求。

如果您之前从未上传过证书，请上传X.509证书，输入密码，然后单击继续。
如果证书确定，请单击继续。
如果您的证书已过期或要替换，请选择否以继续使用HDS证书链和先前ISO的私钥？。上传新的X.509证书，输入密码，然后单击继续。

输入HDS的数据库地址和帐户以访问您的密钥数据存储：

选择您的数据库类型（PostgreSQL 或 Microsoft SQL Server）。

如果选择 Microsoft SQL Server，将会看到“身份验证类型”字段。
（仅Microsoft SQL Server）选择您的验证类型：
- 基本验证：您需要在名字段中提供本地SQL Server帐户名称。
- Windows验证：您需要一个格式为Windows帐户 username@DOMAIN 在用户名字段中。
在表单中输入数据库服务器地址 <hostname>:<port> 或 <IP-address>:<port> 。

例如：
dbhost.example.org:1433 或 198.51.100.17:1433

如果节点无法使用DNS解析主机名，可以使用IP地址进行基本验证。

如果您使用的是Windows验证，则必须以格式输入完全限定域名 dbhost.example.org:1433
输入数据库名称。
在密钥存储数据库中输入具有所有权限的用户的用户名和密码。

选择 <UNK> LS数据库连接模式：

模式

描述

首选 TLS（缺省选项）

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用TLS，节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。
节点还会验证服务器证书中的主机名是否与主机和端口字段中的主机名匹配。名称必须完全匹配，否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

在“系统日志”页面上，配置您的Sy 服务器：

输入系统日志服务器URL。

如果服务器无法从HDS群集的节点解析DNS，请在URL中使用IP地址。

例如：
udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
如果您将服务器设置为使用TLS加密，请检查您的系统日志服务器是否配置了SSL加密？。

如果选中此复选框，请确保输入TCP URL，例如 tcp://10.92.43.23:514 。
从选择系统日志记录终止下拉列表中，为您的ISO文件选择适当的设置： Select或Newline用于Graylog和Rsyslog TCP
- 字节为空-- \x00
- Newline -- \n-为Graylog和Rsyslog TCP选择此选项。
单击继续。

（可选）您可以在高级设置中更改某些数据库连接参数的默认值。通常，此参数是您唯一可能要更改的参数：

app_datasource_connection_pool_maxSize: 10

单击重置服务帐户密码屏幕上的继续。

服务帐户密码的有效期为九个月。当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

单击 ISO文件。将文件保存在易于查找的位置。

在本地系统上备份ISO文件。

确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

要关闭设置工具，请键入 CTRL+C 。

下一步

我们从来没有这个密钥的副本，如果你丢失了它，我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

选择“文件 > 部署 OVF 模板”。

在向导中，指定您之前下载的OVA文件的位置，然后单击 下一步。

在 选择名称和文件夹 页，输入 拟机名称 对于节点（例如“HDS_ode_1”），选择虚拟机节点部署可以驻留的位置，然后单击 下一步。

在 计算资源 页，选择目标计算资源，然后单击 下一步。

运行验证检查。完成后，将显示模板详细信息。

验证模板详细信息，然后单击下一步。

如果您被要求在 上选择资源配置 页，单击 4个CPU，然后单击 下一步。

在 存储空间 页，单击 下一步 接受默认磁盘格式和VM存储策略。

在网络页，从条目列表中选择网络选项以提供所需的VM连接。

在自定义模板页面上，配置以下网络设置：

主机名—输入FQDN（主机名和域）或节点的单字主机名。

您无需将域设置为与用于获取X.509证书的域匹配。
要确保成功注册到云，请在为节点设置的FQDN或主机名中仅使用小写字符。目前不支持大写字符。
FQDN 的总长度绝不得超过 64 个字符。

IP地址 -输入节点内部接口的IP地址。

节点应具有内部IP地址和DNS名称。不支持DHCP。
掩码-以点数表示输入子网掩码地址。例如，255.255.255.0。
网关—输入网关IP地址。网关是一个网络节点，可作为另一个网络的接入点。
DNS服务器-输入以逗号分隔的DNS服务器列表，用于将域名转换为数字IP地址。（最多允许4个DNS条目。）
NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。缺省NTP服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个NTP服务器。

在同一子网或VLAN上部署所有节点，以便出于管理目的，可以从网络中的客户端访问群集中的所有节点。

如果您愿意，可以跳过网络设置配置，然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

右键单击节点虚拟机，然后选择 > 电。

混合数据安全软件作为访客安装在VM主机上。您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前，您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息，此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。如果在部署OVA时未配置节点，也可以使用控制台配置节点的网络设置。

1	在VMware vSphere客户端中，选择混合数据安全节点VM，然后选择控制台选项卡。 VM启动并显示登录提示。如果没有显示登录提示，请按 Enter 键。
2	使用以下缺省登录和密码登录并更改凭证：登录名： `admin` 密码： `cisco` 由于您是首次登录VM，您需要更改管理员密码。
3	如果您已经在安装HDS主机OVA中配置了网络设置，请跳过此程序的其余部分。否则，在主菜单中选择编辑配置选项。
4	使用IP地址、掩码、网关和DNS信息设置静态配置。节点应具有内部IP地址和DNS名称。不支持DHCP。
5	（可选）根据需要更改主机名、域或NTP服务器，以匹配您的网络策略。您无需将域设置为与用于获取X.509证书的域匹配。
6	保存网络配置并重启虚拟机，使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

从您的计算机上传ISO文件：

在VMware vSphere客户端的左侧导航窗格中，单击ESXi服务器。
在配置标签页的硬件列表中，单击存储空间。
在数据存储列表中，右键单击VM的数据存储，然后单击浏览数据存储。
单击“上传文件”图标，然后单击“上传文件”。
浏览到您将ISO文件下载到计算机上的位置，然后单击打开。
单击是接受上传/下载操作警告，并关闭数据存储对话框。

安装ISO文件：

在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击确定以接受限制编辑选项警告。
单击 CD/DVD Drive 1 ，选择从数据存储ISO文件安装的选项，然后浏览到您上传配置ISO文件的位置。
检查已连接和接通电源时连接。
保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求，您可以选择在所有节点获取配置更改后卸载ISO文件。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

准备工作

请参阅支持受支持代理选项的概述。
代理服务器要求

1	输入HDS节点设置URL `https://[HDS Node IP or FQDN]/setup` 在Web浏览器中，输入您为节点设置的管理员凭证，然后单击登录。
2	转至信任库和代理，然后选择一个选项：无代理 - 集成代理之前的缺省选项。无需证书更新。透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。透明检查代理 - 节点没有配置为使用特定代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改，但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。显式代理 - 使用显式代理时，您可以告诉客户端（HDS 节点）要使用哪个代理服务器，并且此选项支持多种验证类型。选择此选项后，您必须输入以下信息：代理 IP/FQDN - 可用于访问代理机器的地址。代理端口 - 代理用来侦听代理流量的端口号。代理协议 - 选择 http（查看和控制从客户端接收的所有请求）或 https（提供到达服务器的通道以及客户端接收和验证服务器证书的通道）。根据代理服务器支持的内容选择一个选项。验证类型 - 从以下验证类型中进行选择：无 - 无需进一步验证。适用于 HTTP 或 HTTPS 代理。基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。适用于 HTTP 或 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。仅适用于 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。
3	单击上传根证书或最终实体证书，然后导航以选择代理的根证书。证书已上传但尚未安装，因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息，如果您操作错误并希望重新上传文件，请单击删除。
4	单击检查代理连接以测试节点和代理服务器之间的网络连接。如果连接测试失败，您将看到一条错误消息，其中显示了错误原因以及解决方法。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置，节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是错误，请完成这些步骤，然后查看关闭阻止的外部DNS解析模式。
5	在连接测试通过后，对于设置为仅限 https 的显式代理，打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。
6	单击将所有证书安装到信任库（对 HTTPS 显式代理或透明检查代理显示）或重启（对 HTTP 显式代理显示），阅读提示，然后在准备就绪后单击安装。节点在几分钟内重启。
7	节点重启后，重新登录（如需要），然后打开概述页面以执行连接检查，确保它们均为绿色状态。代理连接检查仅测试 webex.com 的子域。如果存在连接问题，常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点，向Webex云注册节点，然后将其转换为混合数据安全节点。

注册首个节点时，需要创建要将该节点分配到的集群。群集包含一个或多个用于提供冗余的节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	登录到 https://admin.webex.com。
2	从屏幕左侧的菜单中选择“服务”。
3	在“混合服务”部分，找到混合数据安全，然后单击设置。出现注册混合数据安全节点页。
4	选择是表示您已设置节点并准备好注册，然后单击下一步。
5	在第一个字段中，输入要分配混合数据安全节点的集群的名称。建议您基于群集节点的地理位置来命名该群集。例如： “旧金山”或“纽约”或“达拉斯”
6	在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。出现一条消息，表示您可以将节点注册到Webex。
7	单击转至节点。
8	单击警告消息中的继续。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认要向Webex组织授予访问您节点的权限。
9	选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。
10	单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。在混合数据安全页面上，将显示包含您注册的节点的新集群。该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点，只需创建其他VM并安装相同的配置ISO文件，然后注册该节点。我们建议您至少拥有3个节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	从OVA创建新虚拟机，重复安装HDS主机OVA中的步骤。
2	在新VM上设置初始配置，重复设置混合数据安全VM中的步骤。
3	在新的VM上，重复“上传并挂载HDS配置ISO”中的步骤。
4	如果要为部署设置代理，请根据需要为新节点重复为代理集成配置HDS节点中的步骤。
5	注册节点。在 https://admin.webex.com 中，从屏幕左侧的菜单中选择“服务”。在“混合服务”部分，找到混合数据安全卡，然后单击“资源”(Resources)。出现“混合数据安全资源”页。单击添加资源。在第一个字段中，选择现有集群的名称。在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。出现一条消息，表示您可以将节点注册到Webex云。单击转至节点。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认是否要向组织授予访问节点的权限。选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。节点已注册。请注意，在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下一步

运行试用并进入生产阶段（下一章）

运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后，您可以启动试点，向其添加用户，并开始使用它来测试和验证您的部署，为进入生产阶段做好准备。

准备工作

1	如果适用，同步 `HdsTrialGroup` 组对象。如果您的组织对用户使用目录同步，则必须选择 `HdsTrialGroup` 先对对象进行分组，以便同步到云，然后才能开始试用。有关说明，请参阅《Cisco目录连接器的指南》。
2	激活试用开始试用。在执行此任务之前，节点将生成警报，指示服务尚未激活。
3	测试混合数据安全部署检查关键请求是否传递给您的混合数据安全部署。
4	监控混合数据安全运行状况检查状态并设置警报的电子邮件通知。
5	从试用中添加或删除用户
6	通过以下操作之一完成试验阶段：从试用过渡到生产在不进入生产阶段的情况下结束试用

激活试用

准备工作

1	登录 https://admin.webex.com，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”部分，单击开始试用。服务状态将更改为试用模式。
4	单击添加用户，输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步，请使用Active Directory管理试用组， `HdsTrialGroup` 列表）

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志，以验证关键请求是否传递给混合数据安全部署。

给定空间的键由空间创建者设置。作为试点用户之一登录Webex应用程序，然后创建空间并邀请至少一个试点用户和一个非试点用户。

如果停用混合数据安全部署，则一旦替换了客户端缓存的加密密钥副本，将无法再访问试点用户创建的空间中的内容。

将消息发送到新空间。

检查系统日志输出，以验证关键请求是否传递给混合数据安全部署。

要在建立到KMS的安全通道之前检查用户，请在 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION:

您应该找到如下条目（为便于阅读而缩写的标识符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

要检查从KMS请求现有密钥的用户，请在 kms.data.method=retrieve 和 kms.data.type=KEY:

您应该找到以下条目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

要检查是否有用户请求创建新的KMS密钥，请按 kms.data.method=create 和 kms.data.type=KEY_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户，请在 kms.data.method=create 和 kms.data.type=RESOURCE_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

1	在 Control Hub中，从屏幕左侧的菜单中选择服务。
2	在“混合服务”部分，找到混合数据安全，然后单击设置。出现“混合数据安全设置”页。
3	在电子邮件通知部分，输入一个或多个以逗号分隔的电子邮件地址，然后按 Enter。

从试用中添加或删除用户

在激活试用并添加初始试用用户集后，您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户，用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。如果客户端需要存储在KMS上的密钥，云KMS将代表用户获取密钥。

如果您的组织使用目录同步，请使用Active Directory（而非此程序）管理试用组， HdsTrialGroup ；您可以在Control Hub中查看组成员，但无法添加或删除他们。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”区域的“试用模式”部分中，单击添加用户，或单击查看和编辑将用户从试用中删除。
4	输入要添加的一个或多个用户的电子邮件地址，或者通过用户ID单击 X 将该用户从试用中删除。然后单击保存。

从试用过渡到生产

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在Service Status部分，单击 Move to Production。
4	确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“停用”区域中，单击停用。
4	确认您要停用服务并结束试用。

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

要设置升级安排：

1	登录到 Control Hub。
2	在“概述”页面上的混合服务下，选择混合数据安全。
3	在“混合数据安全资源”页上，选择群集。
4	在右侧“概述”面板中的“集群设置”下，选择集群名称。
5	在“设置”页面中的“升级”下方，为升级安排选择时间与时区。注：下一可用升级的日期与时间显示在时区下。如有需要，您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因，有时可能需要更改混合数据安全节点的配置：

由于过期或其他原因而需要更改 x.509 证书。

我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

更新数据库设置，以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

创建新配置，以准备新的数据中心。

软重设 - 旧密码和新密码均最多使用 10 天。在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。

如果密码过期而未重设，其将影响 HDS 服务，需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要当前配置 ISO 文件的副本，才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO，包括数据库凭证、证书更新或授权策略的变更。

使用本地计算机上的 Docker 运行 HDS 设置工具。

在机器命令行中输入适用于您环境的命令：
在常规环境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。
要登录 Docker 映像注册表，请输入以下内容：
```
docker login -u hdscustomersro
```
在密码提示下，输入以下哈希：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下载适用于您环境的最新稳定映像：
在常规环境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

使用浏览器连接到本地主机，。 http://127.0.0.1:8080 。

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。
出现提示时，输入您的 Control Hub 客户登录凭证，然后单击接受继续操作。
导入当前配置 ISO 文件。
根据提示完成工具并下载更新后的文件。

要关闭设置工具，请键入 CTRL+C 。
在另一个数据中心为更新的文件创建备份副本。

安装 HDS 主机 OVA。
设置 HDS VM。
安装更新的配置文件。
在 Control Hub 中注册新节点。

对于运行旧配置文件的现有 HDS 节点，请设置 ISO 文件。请依次在每个节点上执行以下步骤，在关闭下一节点之前更新每个节点：

关闭虚拟机。
在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1，选择用于从 ISO 文件进行安装的选项，然后浏览到您下载新的配置 ISO 文件的位置。
选中开机时连接。
保存您的更改并打开虚拟机。

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称，则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称，并且您的节点可以与其通信。

1	在Web浏览器中，打开混合数据安全节点界面(例如，IP地址/设置，https://192.0.2.0/setup), 输入为节点设置的管理员凭证，然后单击 In。
2	转至概述（缺省页面）。启用后，阻止外部 DNS 解析会设置为是。
3	转至信任库和代理页面。
4	单击检查代理连接。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器并将保持此模式。否则，在您重启节点并返回概述页面后，阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从群集中删除节点后，删除虚拟机以防止进一步访问您的安全数据。

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

删除节点：

登录Control Hub，然后选择服务。
在混合数据安全卡上，单击查看全部以显示“混合数据安全资源”页。
选择簇以显示其概述面板。
单击节点列表。
在“节点”选项卡上，选择要删除的节点。
单击 > 注册节点。

在vSphere客户端中，删除VM。（在左侧导航窗格中，右键单击VM，然后单击删除。）

如果不删除虚拟机，请记得卸载配置ISO文件。如果没有ISO文件，您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

如果灾难导致主数据中心中的HDS部署不可用，请按照此程序手动将故障转移到备用数据中心。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

配置Syslogd服务器后，单击设置

在高级设置页面上，在下面添加配置或删除 passiveMode 使节点活动的配置。配置后，节点可以处理流量。


passiveMode: 'false'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志输出，以验证备用数据中心的节点未处于被动模式。系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后，如果主数据中心再次变为活动状态，请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

（可选）在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。但是，有些客户不希望ISO文件连续安装。您可以在所有HDS节点接受新配置后卸载ISO文件。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1	关闭其中一个HDS节点。
2	在vCenter Server 中，选择HDS节点。
3	选择设置 > <UNK> /DVD驱动器并取消选中存储器ISO文件。
4	打开HDS节点电源，并确保至少20分钟内没有警报。
5	对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

无法创建新空间（无法创建新密钥）
消息和空间标题无法解密：
- 添加到空间的新用户（无法获取密钥）
- 空间中使用新客户端的现有用户（无法获取密钥）
只要其客户端拥有加密密钥缓存，空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报，以避免服务中断。

警告

如果混合数据安全设置出现问题，Control Hub会向组织管理员显示警告，并向配置的电子邮件地址发送电子邮件。警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤
预警	操作
本地数据库访问失败。	检查数据库错误或本地网络问题。
本地数据库连接失败。	检查数据库服务器是否可用，并且节点配置中使用了正确的服务帐户凭证。
云服务访问失败。	检查节点是否可以按连接要求 Webex服务器。
续订云服务注册。	云服务的注册已取消。正在续订注册。
云服务注册已断开。	云服务的注册已终止。服务正在关闭。
服务尚未激活。	激活试用或完成将试用转入生产阶段。
配置的域与服务器证书不匹配。	确保服务器证书与配置的服务激活域匹配。最可能的原因是证书CN最近发生了更改，现在与初始设置期间使用的CN不同。
向云服务验证失败。	检查服务帐户凭证的准确性和可能的过期时间。
打开本地密钥库文件失败。	检查本地密钥库文件的完整性和密码准确性。
本地服务器证书无效。	检查服务器证书的到期日期，并确认它是由受信任的证书颁发机构颁发的。
无法发布指标。	检查外部云服务的本地网络访问。
/media/configdrive/hds目录不存在。	检查虚拟主机上的ISO安装配置。验证ISO文件是否存在，是否已配置为在重启时安装，以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时，请遵循以下一般准则。

1	查看Control Hub中的任何警告并修复您在此处找到的任何项目。
2	查看来自混合数据安全部署的系统日志服务器输出的活动。
3	请联系思科支持人员。

其他备注

混合数据安全的已知问题

如果您关闭混合数据安全群集（通过在Control Hub中删除该群集或关闭所有节点）、丢失配置ISO文件或失去对密钥库数据库的访问权限，Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。这适用于试用版和量产版部署。我们目前没有解决此问题的变通方法或修复方法，我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间（可能为一小时）。当用户成为混合数据安全试用的成员时，用户的客户端将继续使用现有的ECDH连接，直到超时。或者，用户可以注销并重新登录到Webex应用程序，以更新应用程序用于加密密钥的联系人位置。

当您为组织将试用转入生产模式时，也会发生相同的行为。所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务，直到ECDH连接重新协商（通过超时或注销和重新登录）。

使用OpenSSL生成PKCS12文件

准备工作

OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。还有其他方法可以做到这一点，我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL，我们提供此程序作为指导，帮助您创建符合X.509证书要求中的X.509证书要求的文件。请先了解这些要求，然后再继续。
在支持的环境中安装OpenSSL。有关软件和文档，请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。

1	当您从CA收到服务器证书时，将其另存为 `hdsnode.pem` 。
2	将证书显示为文本并验证详细信息。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文本编辑器创建名为证书捆绑包的文件。 `hdsnode-bundle.pem` 。捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用友好名称创建。p12文件 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	检查服务器证书详细信息。 `openssl pkcs12 -in hdsnode.p12` 在提示处输入密码以加密私钥，使其在输出中列出。然后，验证私钥和第一个证书是否包含线路 `friendlyName: kms-private-key`。例如： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合数据安全的前提条件。您将使用 hdsnode.p12 在为HDS主机创建配置ISO中为其设置的文件和密码。

在原始证书过期时，您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量：

来自客户端的加密请求，由加密服务路由
升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性，并将以下规则添加到 squid.conf 。随着我们不断开发功能和更新 Webex 云，这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新信息和更改信息

日期

已作更改

2023年10月20日

更新了服务器要求信息。
添加了灾难恢复的待机数据中心。
在用于灾难恢复的备用数据中心和使用备用数据中心的灾难恢复中更新了信息。

2023年8月7日

在下载安装文件中添加了说明。
在为HDS主机创建配置ISO和更改节点配置中添加了说明。

2023年5月23日

通过联系客户团队请求启用功能的服务器要求中删除的信息。
更新外部连接要求中的信息并将加拿大添加到CI主机表格。
在部署混合数据安全的期望中添加了关于将密钥移回云端的机制不可用的说明。

2022年12月6日

HDS设置工具映像现在托管在 ciscocitg dockerhub 存储库。
更新了为HDS主机创建配置ISO 和更改节点配置主题以重新处理命令中的更改。

2022年11月23日

HDS节点现在可以对Microsoft SQL Server使用Windows验证。

更新了服务器要求主题，添加了此验证模式的其他要求。

更新了使用在节点上配置Windows验证的程序 HDS主机的配置ISO。
使用新的最低要求版本(PostgreSQL 10)更新了服务器要求主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。请参阅 ker桌面要求（Docker桌面要求）。

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。有关详细信息，请参阅 OpenSSL生成PKCS12文件。

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。有关详细信息，请参阅虚拟主机要求。

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件。

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO，并通过更改登录过程来更改节点配置。

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了主机要求以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机配置ISO ，以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了主机要求，显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求。

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求。

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。

2020年2月4日更新了服务器要求。

2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。

2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息：

代理支持
配置用于代理集成的 HDS 节点
关闭阻止外部 DNS 解析模式

2019 年 11 月 8 日

现在，您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节：

混合数据安全部署任务流程
安装HDS主机OVA
设置混合数据安全虚拟机

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到服务器要求。

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录，附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。

2019 年 8 月 20 日

添加并更新了部分，以涵盖对混合数据安全节点与Webex云通信的代理支持。

代理支持
代理服务器要求
配置用于代理集成的 HDS 节点

要仅访问现有部署的代理支持内容，请参阅混合数据安全的支持和Webex视频网帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”，并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步，则在开始试用之前对对象进行分组。

2019年3月6日

将要求和前提条件移到单独的一章中，准备您的环境。
在设置混合数据安全群集一章中添加了混合数据安全部署任务流程概述。

请注意，在您开始试用之前（使用后续章节中的说明），您的节点会生成警报，指示您的服务尚未激活。
在“运行试用并转入生产”一章中添加了试用到生产中的任务流程。

2019 年 2 月 28 日

更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量，从50 GB到20 GB，以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接，以及与支持TLS的系统日志服务器的加密日志连接。更新了说明为HDS主机创建配置ISO 。
从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前，我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日

在为HDS主机创建配置ISO和更改节点配置中添加了清理任何现有docker HDS实例的初步步骤。
更新了为HDS主机创建配置ISO以匹配接口的密钥访问级别步骤。

2018 年 10 月 19 日

在完成混合数据安全的前提条件中，将防火墙连接信息拆分为节点要求和ISO配置机器要求。

2018 年 7 月 31 日

添加了端口22（SSH访问）和有关NAT和防火墙连接的信息，以完成混合数据安全的前提条件。

2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名：

Cisco Spark混合数据安全现为混合数据安全。
Cisco Spark应用程序现在是Webex应用程序。
Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日

已添加用于灾难恢复的待机数据中心。
更新了完成混合数据安全的前提条件，以指定备份环境应位于不同的数据中心。
已更新待机数据中心的灾难恢复。

2018 年 2 月 22 日

在为HDS主机创建配置ISO 和更改节点配置中，添加了有关服务帐户密码9个月有效期以及使用HDS设置工具重置服务帐户密码的信息。

2018 年 2 月 15 日

在 <UNK> 。509证书要求表中指定证书不能是通配符证书，并且KMS使用CN域，而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

添加了附录， <UNK> DS节点和云之间的流量。
已从混合数据安全的已知问题中删除一个已解决的问题。
已将index.docker。io更改为*。docker。io并将*。cloudfront.net添加到混合数据安全的前提条件 HDS节点的TCP连接要求列表中。
更新了为HDS主机创建配置ISO ，以指示如果数据库主机和Syslogd服务器无法从HDS节点解析DNS，则必须使用IP地址配置它们。

2017年11月2日

澄清HdsTrialGroup的目录同步。
修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域，如下所示。

在此图中，客户端是运行在用户笔记本电脑上的Webex应用程序，并已通过身份服务进行身份验证。当用户编写要发送到空间的消息时，将执行以下步骤：

客户端与密钥管理服务(KMS)建立安全连接，然后请求密钥对消息进行加密。安全连接使用ECDH，KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。客户端将其发送到索引服务，该服务创建加密的搜索索引，以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。

部署混合数据安全时，将安全领域功能（KMS、索引和合规性）移至本地数据中心。构成Webex的其他云服务（包括身份和内容存储）仍保留在Cisco的领域。

与其他组织协作

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺，并了解拥有加密密钥所带来的风险。

要部署混合数据安全，您必须提供：

位于Cisco Webex Teams计划支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。

管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复，例如数据库磁盘故障或数据中心灾难。

在HDS部署后，没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理：

设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件，在试用模式下使用部分用户对部署进行测试，以及在测试完成后进入生产阶段。这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。您的IT部门可以为此部署提供一级支持，并根据需要聘请Cisco支持人员。您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题，本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内，您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。节点通过安全Websoc 和安全HTTP与Webex云通信。

混合数据安全部署模型

群集中的所有节点访问同一密钥数据存储，并将活动记录到同一系统日志服务器。节点本身是无状态的，并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时，节点将变为活动状态。要使单个节点退出服务，您可以取消注册，然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

用于灾难恢复的备用数据中心

在部署期间，您可以设置安全的备用数据中心。在数据中心发生灾难时，您可以手动将部署失败到备用数据中心。

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件：

准备工作

备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如，如果生产中有3个运行HDS节点的VM，则备份环境应该有3个VM。（请参阅用于灾难恢复的待机数据中心，了解此故障转移模型的概述。）
确保在主动和被动群集节点的数据库之间启用数据库同步。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

配置Syslogd服务器后，单击设置

在设置上，添加下面的配置以将节点置于被动模式。在此模式下，节点将注册到组织并连接到云，但不会处理任何流量。


passiveMode: 'true'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志以验证节点是否处于被动模式。您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

代理支持

混合数据安全节点支持以下代理选项：

无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理，这是缺省选项。无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是，节点需要根证书，以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。
显式代理 - 使用显式代理时，您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。要配置显式代理，您必须在每个节点上输入以下信息：
1. 代理 IP/FQDN - 可用于访问代理机器的地址。
2. 代理端口 - 代理用来侦听代理流量的端口号。
3. 代理协议 - 根据代理服务器支持的内容，选择以下协议之一：
  - HTTP - 查看和控制客户端发送的所有请求。
  - HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。
4. 验证类型 - 从以下验证类型中进行选择：
  - 无 - 无需进一步验证。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
  - 基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。
  - 摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。
    
    仅当您选择 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

阻止外部 DNS 解析模式（显式代理配置）

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全：

您必须拥有Pro Pack for Cisco Webex Control Hub。（请参阅 https://www.cisco.com/go/pro-pack。）

Docker Desktop要求

X.509证书要求

证书链必须满足以下要求：

表 1. 混合数据安全部署的X.509证书要求
要求	详细信息
由受信任的证书颁发机构(CA)签名	默认情况下，我们信任Mozilla列表中的CA（WoSign和StartCom除外），网址为 https://wiki.mozilla.org/CA:IncludedCAs。
标识混合数据安全部署的公用名(CN)域名不是通配符证书	CN无需可接通或为实时主持人。我们建议您使用反映您的组织的名称，例如， `hds.company.com` 。 CN不能包含*（通配符）。 CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。您的KMS使用CN域标识自己，而不是x.509v3 SAN字段中定义的任何域。使用此证书注册节点后，我们不支持更改CN域名。选择可以同时应用于试用版和生产版部署的域。
非SHA1签名	KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。
格式化为受密码保护的PKCS #12文件使用昵称： `kms-private-key` 来标记证书、私钥以及要上传的任何中间证书。	您可以使用转换器（例如OpenSSL）来更改证书的格式。运行HDS设置工具时，您需要输入密码。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求：

至少有两个独立的主机（推荐3个）位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5（或更高版本）。

如果您有较早版本的ESXi，则必须升级。
每台服务器至少有4个vCPU，8-GB主内存，30 GB本地硬盘空间

数据库服务器要求

创建密钥存储的新数据库。请勿使用默认数据库。 HDS应用程序安装后，创建数据库架构。

数据库服务器有两个选项。每一项的要求如下：

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

PostgreSQL 14、15或16，已安装并运行。

已安装SQL Server 2016、2017或2019（企业版或标准版）。

SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控，以确保其不超过上限（如果要长时间运行数据库而不需要增加存储空间，建议使用2TB）

HDS软件当前安装以下驱动程序版本，以便与数据库服务器通信：

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On（Always On故障转移群集实例和Always On可用性组）。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库，则需要在您的环境中进行以下配置：

HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。请参阅注册Kerberos连接的服务主体名称。

HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。在请求通过Kerberos验证访问时，他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接：

应用程序	协议	端口	应用程序的方向	目标位置
混合数据安全节点	TCP	443	出站HTTPS和WSS	Webex服务器： .wbx2.com .ciscospark.com 所有通用标识主机在 bex服务的网络要求的 bex混合服务的其他URL 中列出了用于混合数据安全的其他URL
HDS设置工具	TCP	443	出站HTTPS	*.wbx2.com 所有通用标识主机 hub.docker.com

通用标识(CI)主机的URL是区域特定的。以下是当前的CI主持人：

地区	通用标识主机URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

代理服务器要求

我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

透明代理 - Cisco Web 安全设备 (WSA)。

显式代理 - Squid。

用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。要解决此问题，请参阅为混合数据安全配置Squid Proxies。

我们支持显式代理的以下验证类型组合：
- 不进行 HTTP 或 HTTPS 验证
- 进行 HTTP 或 HTTPS 基本验证
- 仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理，您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题，绕过（不检查）流量至 wbx2.com 和 ciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。

为HDS部署选择域名(例如， hds.company.com)，并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须满足 X.509证书要求中的要求。

根据服务器要求，准备用作群集密钥数据存储的数据库服务器。数据库服务器必须与虚拟主机共享在安全数据中心。

创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后，创建数据库架构。)
收集节点用于与数据库服务器通信的详细信息：
- 主机名称或IP地址（主机）和端口
- 用于密钥存储的数据库名称(dbname)
- 具有密钥存储数据库所有权限的用户的用户名和密码

设置系统日志主机以从群集中的节点收集日志。收集其网络地址和系统日志端口（默认为UDP 514）。

由于混合数据安全节点存储用于加密和解密内容的密钥，如果无法维护运行部署，将导致该内容无法恢复的丢失。

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

要安装和运行HDS设置工具，本地机器必须具有外部连接要求中列出的连接。

如果要将代理与混合数据安全集成，请确保其符合代理服务器要求。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

将OVA文件下载到本地计算机以供后续使用。

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

从OVA文件创建虚拟机并执行初始配置，例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

登录到VM控制台并设置登录凭证。如果在OVA部署时未配置节点的网络设置，请配置该节点的网络设置。

从使用HDS设置工具创建的ISO配置文件配置VM。

如果网络环境需要代理配置，请指定要用于节点的代理类型，并根据需要将代理证书添加到信任存储区。

向Cisco Webex云注册VM作为混合数据安全节点。

完成群集设置。

运行试用并进入生产阶段（下一章）

在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下载安装文件

在此任务中，您可以将OVA文件下载到计算机（而不是您设置为混合数据安全节点的服务器）。该文件可用于后续的安装过程。

在“混合服务”部分，找到混合数据安全卡，然后单击设置。

您也可以随时从设置页面上的帮助部分下载OVA。在混合数据安全卡上，单击编辑设置以打开页面。然后，单击帮助部分中的下载混合数据安全软件。

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。升级应用程序时可能会出现问题。确保下载OVA文件的最新版本。

选择否表示您尚未设置节点，然后单击下一步。

OVA文件会自动开始下载。将文件保存到计算机上的某个位置。

或者，单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。然后使用ISO配置混合数据安全主机。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在进行配置更改时，您需要该文件的最新副本，例如：
- 数据库凭证
- 证书更新
- 授权策略更改
如果您计划加密数据库连接，请为TLS设置PostgreSQL或SQL Server部署。

在机器命令行中输入适用于您环境的命令：

在常规环境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。

要登录 Docker 映像注册表，请输入以下内容：

docker login -u hdscustomersro

在密码提示下，输入以下哈希：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下载适用于您环境的最新稳定映像：

在常规环境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker pull ciscocitg/hds-setup-fedramp:stable

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost， http://127.0.0.1:8080 ，并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。该工具随后会显示标准登录提示。

出现提示时，输入您的Control Hub客户管理员登录凭证，然后单击登录以允许访问混合数据安全所需的服务。

在Setup Tool概述页面上，单击 Get Started。

在 ISO导入页面上，您有以下选项：

否—如果要创建第一个HDS节点，则没有要上传的ISO文件。
是—如果您已经创建了HDS节点，则可以在浏览中选择ISO文件并上传。

检查您的X.509证书是否符合X.509证书要求中的要求。

如果您之前从未上传过证书，请上传X.509证书，输入密码，然后单击继续。
如果证书确定，请单击继续。
如果您的证书已过期或要替换，请选择否以继续使用HDS证书链和先前ISO的私钥？。上传新的X.509证书，输入密码，然后单击继续。

输入HDS的数据库地址和帐户以访问您的密钥数据存储：

选择您的数据库类型（PostgreSQL 或 Microsoft SQL Server）。

如果选择 Microsoft SQL Server，将会看到“身份验证类型”字段。
（仅Microsoft SQL Server）选择您的验证类型：
- 基本验证：您需要在名字段中提供本地SQL Server帐户名称。
- Windows验证：您需要一个格式为Windows帐户 username@DOMAIN 在用户名字段中。
在表单中输入数据库服务器地址 <hostname>:<port> 或 <IP-address>:<port> 。

例如：
dbhost.example.org:1433 或 198.51.100.17:1433

如果节点无法使用DNS解析主机名，可以使用IP地址进行基本验证。

如果您使用的是Windows验证，则必须以格式输入完全限定域名 dbhost.example.org:1433
输入数据库名称。
在密钥存储数据库中输入具有所有权限的用户的用户名和密码。

选择 <UNK> LS数据库连接模式：

模式

描述

首选 TLS（缺省选项）

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用TLS，节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。
节点还会验证服务器证书中的主机名是否与主机和端口字段中的主机名匹配。名称必须完全匹配，否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

在“系统日志”页面上，配置您的Sy 服务器：

输入系统日志服务器URL。

如果服务器无法从HDS群集的节点解析DNS，请在URL中使用IP地址。

例如：
udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
如果您将服务器设置为使用TLS加密，请检查您的系统日志服务器是否配置了SSL加密？。

如果选中此复选框，请确保输入TCP URL，例如 tcp://10.92.43.23:514 。
从选择系统日志记录终止下拉列表中，为您的ISO文件选择适当的设置： Select或Newline用于Graylog和Rsyslog TCP
- 字节为空-- \x00
- Newline -- \n-为Graylog和Rsyslog TCP选择此选项。
单击继续。

（可选）您可以在高级设置中更改某些数据库连接参数的默认值。通常，此参数是您唯一可能要更改的参数：

app_datasource_connection_pool_maxSize: 10

单击重置服务帐户密码屏幕上的继续。

服务帐户密码的有效期为九个月。当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

单击 ISO文件。将文件保存在易于查找的位置。

在本地系统上备份ISO文件。

确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

要关闭设置工具，请键入 CTRL+C 。

下一步

我们从来没有这个密钥的副本，如果你丢失了它，我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

选择“文件 > 部署 OVF 模板”。

在向导中，指定您之前下载的OVA文件的位置，然后单击 下一步。

在 选择名称和文件夹 页，输入 拟机名称 对于节点（例如“HDS_ode_1”），选择虚拟机节点部署可以驻留的位置，然后单击 下一步。

在 计算资源 页，选择目标计算资源，然后单击 下一步。

运行验证检查。完成后，将显示模板详细信息。

验证模板详细信息，然后单击下一步。

如果您被要求在 上选择资源配置 页，单击 4个CPU，然后单击 下一步。

在 存储空间 页，单击 下一步 接受默认磁盘格式和VM存储策略。

在网络页，从条目列表中选择网络选项以提供所需的VM连接。

在自定义模板页面上，配置以下网络设置：

主机名—输入FQDN（主机名和域）或节点的单字主机名。

您无需将域设置为与用于获取X.509证书的域匹配。
要确保成功注册到云，请在为节点设置的FQDN或主机名中仅使用小写字符。目前不支持大写字符。
FQDN 的总长度绝不得超过 64 个字符。

IP地址 -输入节点内部接口的IP地址。

节点应具有内部IP地址和DNS名称。不支持DHCP。
掩码-以点数表示输入子网掩码地址。例如，255.255.255.0。
网关—输入网关IP地址。网关是一个网络节点，可作为另一个网络的接入点。
DNS服务器-输入以逗号分隔的DNS服务器列表，用于将域名转换为数字IP地址。（最多允许4个DNS条目。）
NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。缺省NTP服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个NTP服务器。

在同一子网或VLAN上部署所有节点，以便出于管理目的，可以从网络中的客户端访问群集中的所有节点。

如果您愿意，可以跳过网络设置配置，然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

右键单击节点虚拟机，然后选择 > 电。

混合数据安全软件作为访客安装在VM主机上。您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前，您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息，此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。如果在部署OVA时未配置节点，也可以使用控制台配置节点的网络设置。

1	在VMware vSphere客户端中，选择混合数据安全节点VM，然后选择控制台选项卡。 VM启动并显示登录提示。如果没有显示登录提示，请按 Enter 键。
2	使用以下缺省登录和密码登录并更改凭证：登录名： `admin` 密码： `cisco` 由于您是首次登录VM，您需要更改管理员密码。
3	如果您已经在安装HDS主机OVA中配置了网络设置，请跳过此程序的其余部分。否则，在主菜单中选择编辑配置选项。
4	使用IP地址、掩码、网关和DNS信息设置静态配置。节点应具有内部IP地址和DNS名称。不支持DHCP。
5	（可选）根据需要更改主机名、域或NTP服务器，以匹配您的网络策略。您无需将域设置为与用于获取X.509证书的域匹配。
6	保存网络配置并重启虚拟机，使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

从您的计算机上传ISO文件：

在VMware vSphere客户端的左侧导航窗格中，单击ESXi服务器。
在配置标签页的硬件列表中，单击存储空间。
在数据存储列表中，右键单击VM的数据存储，然后单击浏览数据存储。
单击“上传文件”图标，然后单击“上传文件”。
浏览到您将ISO文件下载到计算机上的位置，然后单击打开。
单击是接受上传/下载操作警告，并关闭数据存储对话框。

安装ISO文件：

在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击确定以接受限制编辑选项警告。
单击 CD/DVD Drive 1 ，选择从数据存储ISO文件安装的选项，然后浏览到您上传配置ISO文件的位置。
检查已连接和接通电源时连接。
保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求，您可以选择在所有节点获取配置更改后卸载ISO文件。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

准备工作

请参阅支持受支持代理选项的概述。
代理服务器要求

1	输入HDS节点设置URL `https://[HDS Node IP or FQDN]/setup` 在Web浏览器中，输入您为节点设置的管理员凭证，然后单击登录。
2	转至信任库和代理，然后选择一个选项：无代理 - 集成代理之前的缺省选项。无需证书更新。透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。透明检查代理 - 节点没有配置为使用特定代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改，但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。显式代理 - 使用显式代理时，您可以告诉客户端（HDS 节点）要使用哪个代理服务器，并且此选项支持多种验证类型。选择此选项后，您必须输入以下信息：代理 IP/FQDN - 可用于访问代理机器的地址。代理端口 - 代理用来侦听代理流量的端口号。代理协议 - 选择 http（查看和控制从客户端接收的所有请求）或 https（提供到达服务器的通道以及客户端接收和验证服务器证书的通道）。根据代理服务器支持的内容选择一个选项。验证类型 - 从以下验证类型中进行选择：无 - 无需进一步验证。适用于 HTTP 或 HTTPS 代理。基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。适用于 HTTP 或 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。仅适用于 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。
3	单击上传根证书或最终实体证书，然后导航以选择代理的根证书。证书已上传但尚未安装，因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息，如果您操作错误并希望重新上传文件，请单击删除。
4	单击检查代理连接以测试节点和代理服务器之间的网络连接。如果连接测试失败，您将看到一条错误消息，其中显示了错误原因以及解决方法。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置，节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是错误，请完成这些步骤，然后查看关闭阻止的外部DNS解析模式。
5	在连接测试通过后，对于设置为仅限 https 的显式代理，打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。
6	单击将所有证书安装到信任库（对 HTTPS 显式代理或透明检查代理显示）或重启（对 HTTP 显式代理显示），阅读提示，然后在准备就绪后单击安装。节点在几分钟内重启。
7	节点重启后，重新登录（如需要），然后打开概述页面以执行连接检查，确保它们均为绿色状态。代理连接检查仅测试 webex.com 的子域。如果存在连接问题，常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点，向Webex云注册节点，然后将其转换为混合数据安全节点。

注册首个节点时，需要创建要将该节点分配到的集群。群集包含一个或多个用于提供冗余的节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	登录到 https://admin.webex.com。
2	从屏幕左侧的菜单中选择“服务”。
3	在“混合服务”部分，找到混合数据安全，然后单击设置。出现注册混合数据安全节点页。
4	选择是表示您已设置节点并准备好注册，然后单击下一步。
5	在第一个字段中，输入要分配混合数据安全节点的集群的名称。建议您基于群集节点的地理位置来命名该群集。例如： “旧金山”或“纽约”或“达拉斯”
6	在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。出现一条消息，表示您可以将节点注册到Webex。
7	单击转至节点。
8	单击警告消息中的继续。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认要向Webex组织授予访问您节点的权限。
9	选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。
10	单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。在混合数据安全页面上，将显示包含您注册的节点的新集群。该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点，只需创建其他VM并安装相同的配置ISO文件，然后注册该节点。我们建议您至少拥有3个节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	从OVA创建新虚拟机，重复安装HDS主机OVA中的步骤。
2	在新VM上设置初始配置，重复设置混合数据安全VM中的步骤。
3	在新的VM上，重复“上传并挂载HDS配置ISO”中的步骤。
4	如果要为部署设置代理，请根据需要为新节点重复为代理集成配置HDS节点中的步骤。
5	注册节点。在 https://admin.webex.com 中，从屏幕左侧的菜单中选择“服务”。在“混合服务”部分，找到混合数据安全卡，然后单击“资源”(Resources)。出现“混合数据安全资源”页。单击添加资源。在第一个字段中，选择现有集群的名称。在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。出现一条消息，表示您可以将节点注册到Webex云。单击转至节点。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认是否要向组织授予访问节点的权限。选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。节点已注册。请注意，在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下一步

运行试用并进入生产阶段（下一章）

运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后，您可以启动试点，向其添加用户，并开始使用它来测试和验证您的部署，为进入生产阶段做好准备。

准备工作

1	如果适用，同步 `HdsTrialGroup` 组对象。如果您的组织对用户使用目录同步，则必须选择 `HdsTrialGroup` 先对对象进行分组，以便同步到云，然后才能开始试用。有关说明，请参阅《Cisco目录连接器的指南》。
2	激活试用开始试用。在执行此任务之前，节点将生成警报，指示服务尚未激活。
3	测试混合数据安全部署检查关键请求是否传递给您的混合数据安全部署。
4	监控混合数据安全运行状况检查状态并设置警报的电子邮件通知。
5	从试用中添加或删除用户
6	通过以下操作之一完成试验阶段：从试用过渡到生产在不进入生产阶段的情况下结束试用

激活试用

准备工作

1	登录 https://admin.webex.com，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”部分，单击开始试用。服务状态将更改为试用模式。
4	单击添加用户，输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步，请使用Active Directory管理试用组， `HdsTrialGroup` 列表）

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志，以验证关键请求是否传递给混合数据安全部署。

给定空间的键由空间创建者设置。作为试点用户之一登录Webex应用程序，然后创建空间并邀请至少一个试点用户和一个非试点用户。

如果停用混合数据安全部署，则一旦替换了客户端缓存的加密密钥副本，将无法再访问试点用户创建的空间中的内容。

将消息发送到新空间。

检查系统日志输出，以验证关键请求是否传递给混合数据安全部署。

要在建立到KMS的安全通道之前检查用户，请在 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION:

您应该找到如下条目（为便于阅读而缩写的标识符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

要检查从KMS请求现有密钥的用户，请在 kms.data.method=retrieve 和 kms.data.type=KEY:

您应该找到以下条目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

要检查是否有用户请求创建新的KMS密钥，请按 kms.data.method=create 和 kms.data.type=KEY_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户，请在 kms.data.method=create 和 kms.data.type=RESOURCE_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

1	在 Control Hub中，从屏幕左侧的菜单中选择服务。
2	在“混合服务”部分，找到混合数据安全，然后单击设置。出现“混合数据安全设置”页。
3	在电子邮件通知部分，输入一个或多个以逗号分隔的电子邮件地址，然后按 Enter。

从试用中添加或删除用户

在激活试用并添加初始试用用户集后，您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户，用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。如果客户端需要存储在KMS上的密钥，云KMS将代表用户获取密钥。

如果您的组织使用目录同步，请使用Active Directory（而非此程序）管理试用组， HdsTrialGroup ；您可以在Control Hub中查看组成员，但无法添加或删除他们。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”区域的“试用模式”部分中，单击添加用户，或单击查看和编辑将用户从试用中删除。
4	输入要添加的一个或多个用户的电子邮件地址，或者通过用户ID单击 X 将该用户从试用中删除。然后单击保存。

从试用过渡到生产

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在Service Status部分，单击 Move to Production。
4	确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“停用”区域中，单击停用。
4	确认您要停用服务并结束试用。

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

要设置升级安排：

1	登录到 Control Hub。
2	在“概述”页面上的混合服务下，选择混合数据安全。
3	在“混合数据安全资源”页上，选择群集。
4	在右侧“概述”面板中的“集群设置”下，选择集群名称。
5	在“设置”页面中的“升级”下方，为升级安排选择时间与时区。注：下一可用升级的日期与时间显示在时区下。如有需要，您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因，有时可能需要更改混合数据安全节点的配置：

由于过期或其他原因而需要更改 x.509 证书。

我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

更新数据库设置，以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

创建新配置，以准备新的数据中心。

软重设 - 旧密码和新密码均最多使用 10 天。在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。

如果密码过期而未重设，其将影响 HDS 服务，需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要当前配置 ISO 文件的副本，才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO，包括数据库凭证、证书更新或授权策略的变更。

使用本地计算机上的 Docker 运行 HDS 设置工具。

在机器命令行中输入适用于您环境的命令：
在常规环境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。
要登录 Docker 映像注册表，请输入以下内容：
```
docker login -u hdscustomersro
```
在密码提示下，输入以下哈希：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下载适用于您环境的最新稳定映像：
在常规环境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

使用浏览器连接到本地主机，。 http://127.0.0.1:8080 。

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。
出现提示时，输入您的 Control Hub 客户登录凭证，然后单击接受继续操作。
导入当前配置 ISO 文件。
根据提示完成工具并下载更新后的文件。

要关闭设置工具，请键入 CTRL+C 。
在另一个数据中心为更新的文件创建备份副本。

安装 HDS 主机 OVA。
设置 HDS VM。
安装更新的配置文件。
在 Control Hub 中注册新节点。

对于运行旧配置文件的现有 HDS 节点，请设置 ISO 文件。请依次在每个节点上执行以下步骤，在关闭下一节点之前更新每个节点：

关闭虚拟机。
在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1，选择用于从 ISO 文件进行安装的选项，然后浏览到您下载新的配置 ISO 文件的位置。
选中开机时连接。
保存您的更改并打开虚拟机。

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称，则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称，并且您的节点可以与其通信。

1	在Web浏览器中，打开混合数据安全节点界面(例如，IP地址/设置，https://192.0.2.0/setup), 输入为节点设置的管理员凭证，然后单击 In。
2	转至概述（缺省页面）。启用后，阻止外部 DNS 解析会设置为是。
3	转至信任库和代理页面。
4	单击检查代理连接。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器并将保持此模式。否则，在您重启节点并返回概述页面后，阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从群集中删除节点后，删除虚拟机以防止进一步访问您的安全数据。

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

删除节点：

登录Control Hub，然后选择服务。
在混合数据安全卡上，单击查看全部以显示“混合数据安全资源”页。
选择簇以显示其概述面板。
单击节点列表。
在“节点”选项卡上，选择要删除的节点。
单击 > 注册节点。

在vSphere客户端中，删除VM。（在左侧导航窗格中，右键单击VM，然后单击删除。）

如果不删除虚拟机，请记得卸载配置ISO文件。如果没有ISO文件，您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

如果灾难导致主数据中心中的HDS部署不可用，请按照此程序手动将故障转移到备用数据中心。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

配置Syslogd服务器后，单击设置

在高级设置页面上，在下面添加配置或删除 passiveMode 使节点活动的配置。配置后，节点可以处理流量。


passiveMode: 'false'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志输出，以验证备用数据中心的节点未处于被动模式。系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后，如果主数据中心再次变为活动状态，请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

（可选）在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。但是，有些客户不希望ISO文件连续安装。您可以在所有HDS节点接受新配置后卸载ISO文件。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1	关闭其中一个HDS节点。
2	在vCenter Server 中，选择HDS节点。
3	选择设置 > <UNK> /DVD驱动器并取消选中存储器ISO文件。
4	打开HDS节点电源，并确保至少20分钟内没有警报。
5	对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

无法创建新空间（无法创建新密钥）
消息和空间标题无法解密：
- 添加到空间的新用户（无法获取密钥）
- 空间中使用新客户端的现有用户（无法获取密钥）
只要其客户端拥有加密密钥缓存，空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报，以避免服务中断。

警告

如果混合数据安全设置出现问题，Control Hub会向组织管理员显示警告，并向配置的电子邮件地址发送电子邮件。警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤
预警	操作
本地数据库访问失败。	检查数据库错误或本地网络问题。
本地数据库连接失败。	检查数据库服务器是否可用，并且节点配置中使用了正确的服务帐户凭证。
云服务访问失败。	检查节点是否可以按连接要求 Webex服务器。
续订云服务注册。	云服务的注册已取消。正在续订注册。
云服务注册已断开。	云服务的注册已终止。服务正在关闭。
服务尚未激活。	激活试用或完成将试用转入生产阶段。
配置的域与服务器证书不匹配。	确保服务器证书与配置的服务激活域匹配。最可能的原因是证书CN最近发生了更改，现在与初始设置期间使用的CN不同。
向云服务验证失败。	检查服务帐户凭证的准确性和可能的过期时间。
打开本地密钥库文件失败。	检查本地密钥库文件的完整性和密码准确性。
本地服务器证书无效。	检查服务器证书的到期日期，并确认它是由受信任的证书颁发机构颁发的。
无法发布指标。	检查外部云服务的本地网络访问。
/media/configdrive/hds目录不存在。	检查虚拟主机上的ISO安装配置。验证ISO文件是否存在，是否已配置为在重启时安装，以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时，请遵循以下一般准则。

1	查看Control Hub中的任何警告并修复您在此处找到的任何项目。
2	查看来自混合数据安全部署的系统日志服务器输出的活动。
3	请联系思科支持人员。

其他备注

混合数据安全的已知问题

如果您关闭混合数据安全群集（通过在Control Hub中删除该群集或关闭所有节点）、丢失配置ISO文件或失去对密钥库数据库的访问权限，Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。这适用于试用版和量产版部署。我们目前没有解决此问题的变通方法或修复方法，我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间（可能为一小时）。当用户成为混合数据安全试用的成员时，用户的客户端将继续使用现有的ECDH连接，直到超时。或者，用户可以注销并重新登录到Webex应用程序，以更新应用程序用于加密密钥的联系人位置。

当您为组织将试用转入生产模式时，也会发生相同的行为。所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务，直到ECDH连接重新协商（通过超时或注销和重新登录）。

使用OpenSSL生成PKCS12文件

准备工作

OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。还有其他方法可以做到这一点，我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL，我们提供此程序作为指导，帮助您创建符合X.509证书要求中的X.509证书要求的文件。请先了解这些要求，然后再继续。
在支持的环境中安装OpenSSL。有关软件和文档，请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。

1	当您从CA收到服务器证书时，将其另存为 `hdsnode.pem` 。
2	将证书显示为文本并验证详细信息。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文本编辑器创建名为证书捆绑包的文件。 `hdsnode-bundle.pem` 。捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用友好名称创建。p12文件 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	检查服务器证书详细信息。 `openssl pkcs12 -in hdsnode.p12` 在提示处输入密码以加密私钥，使其在输出中列出。然后，验证私钥和第一个证书是否包含线路 `friendlyName: kms-private-key`。例如： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合数据安全的前提条件。您将使用 hdsnode.p12 在为HDS主机创建配置ISO中为其设置的文件和密码。

在原始证书过期时，您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量：

来自客户端的加密请求，由加密服务路由
升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性，并将以下规则添加到 squid.conf 。随着我们不断开发功能和更新 Webex 云，这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新信息和更改信息

日期

已作更改

2023年10月20日

更新了服务器要求信息。
添加了灾难恢复的待机数据中心。
在用于灾难恢复的备用数据中心和使用备用数据中心的灾难恢复中更新了信息。

2023年8月7日

在下载安装文件中添加了说明。
在为HDS主机创建配置ISO和更改节点配置中添加了说明。

2023年5月23日

通过联系客户团队请求启用功能的服务器要求中删除的信息。
更新外部连接要求中的信息并将加拿大添加到CI主机表格。
在部署混合数据安全的期望中添加了关于将密钥移回云端的机制不可用的说明。

2022年12月6日

HDS设置工具映像现在托管在 ciscocitg dockerhub 存储库。
更新了为HDS主机创建配置ISO 和更改节点配置主题以重新处理命令中的更改。

2022年11月23日

HDS节点现在可以对Microsoft SQL Server使用Windows验证。

更新了服务器要求主题，添加了此验证模式的其他要求。

更新了使用在节点上配置Windows验证的程序 HDS主机的配置ISO。
使用新的最低要求版本(PostgreSQL 10)更新了服务器要求主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。请参阅 ker桌面要求（Docker桌面要求）。

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。有关详细信息，请参阅 OpenSSL生成PKCS12文件。

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。有关详细信息，请参阅虚拟主机要求。

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件。

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO，并通过更改登录过程来更改节点配置。

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了主机要求以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机配置ISO ，以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了主机要求，显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求。

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求。

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。

2020年2月4日更新了服务器要求。

2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。

2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息：

代理支持
配置用于代理集成的 HDS 节点
关闭阻止外部 DNS 解析模式

2019 年 11 月 8 日

现在，您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节：

混合数据安全部署任务流程
安装HDS主机OVA
设置混合数据安全虚拟机

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到服务器要求。

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录，附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。

2019 年 8 月 20 日

添加并更新了部分，以涵盖对混合数据安全节点与Webex云通信的代理支持。

代理支持
代理服务器要求
配置用于代理集成的 HDS 节点

要仅访问现有部署的代理支持内容，请参阅混合数据安全的支持和Webex视频网帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”，并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步，则在开始试用之前对对象进行分组。

2019年3月6日

将要求和前提条件移到单独的一章中，准备您的环境。
在设置混合数据安全群集一章中添加了混合数据安全部署任务流程概述。

请注意，在您开始试用之前（使用后续章节中的说明），您的节点会生成警报，指示您的服务尚未激活。
在“运行试用并转入生产”一章中添加了试用到生产中的任务流程。

2019 年 2 月 28 日

更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量，从50 GB到20 GB，以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接，以及与支持TLS的系统日志服务器的加密日志连接。更新了说明为HDS主机创建配置ISO 。
从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前，我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日

在为HDS主机创建配置ISO和更改节点配置中添加了清理任何现有docker HDS实例的初步步骤。
更新了为HDS主机创建配置ISO以匹配接口的密钥访问级别步骤。

2018 年 10 月 19 日

在完成混合数据安全的前提条件中，将防火墙连接信息拆分为节点要求和ISO配置机器要求。

2018 年 7 月 31 日

添加了端口22（SSH访问）和有关NAT和防火墙连接的信息，以完成混合数据安全的前提条件。

2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名：

Cisco Spark混合数据安全现为混合数据安全。
Cisco Spark应用程序现在是Webex应用程序。
Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日

已添加用于灾难恢复的待机数据中心。
更新了完成混合数据安全的前提条件，以指定备份环境应位于不同的数据中心。
已更新待机数据中心的灾难恢复。

2018 年 2 月 22 日

在为HDS主机创建配置ISO 和更改节点配置中，添加了有关服务帐户密码9个月有效期以及使用HDS设置工具重置服务帐户密码的信息。

2018 年 2 月 15 日

在 <UNK> 。509证书要求表中指定证书不能是通配符证书，并且KMS使用CN域，而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

添加了附录， <UNK> DS节点和云之间的流量。
已从混合数据安全的已知问题中删除一个已解决的问题。
已将index.docker。io更改为*。docker。io并将*。cloudfront.net添加到混合数据安全的前提条件 HDS节点的TCP连接要求列表中。
更新了为HDS主机创建配置ISO ，以指示如果数据库主机和Syslogd服务器无法从HDS节点解析DNS，则必须使用IP地址配置它们。

2017年11月2日

澄清HdsTrialGroup的目录同步。
修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域，如下所示。

在此图中，客户端是运行在用户笔记本电脑上的Webex应用程序，并已通过身份服务进行身份验证。当用户编写要发送到空间的消息时，将执行以下步骤：

客户端与密钥管理服务(KMS)建立安全连接，然后请求密钥对消息进行加密。安全连接使用ECDH，KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。客户端将其发送到索引服务，该服务创建加密的搜索索引，以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。

部署混合数据安全时，将安全领域功能（KMS、索引和合规性）移至本地数据中心。构成Webex的其他云服务（包括身份和内容存储）仍保留在Cisco的领域。

与其他组织协作

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺，并了解拥有加密密钥所带来的风险。

要部署混合数据安全，您必须提供：

位于Cisco Webex Teams计划支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。

管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复，例如数据库磁盘故障或数据中心灾难。

在HDS部署后，没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理：

设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件，在试用模式下使用部分用户对部署进行测试，以及在测试完成后进入生产阶段。这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。您的IT部门可以为此部署提供一级支持，并根据需要聘请Cisco支持人员。您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题，本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内，您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。节点通过安全Websoc 和安全HTTP与Webex云通信。

混合数据安全部署模型

群集中的所有节点访问同一密钥数据存储，并将活动记录到同一系统日志服务器。节点本身是无状态的，并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时，节点将变为活动状态。要使单个节点退出服务，您可以取消注册，然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

用于灾难恢复的备用数据中心

在部署期间，您可以设置安全的备用数据中心。在数据中心发生灾难时，您可以手动将部署失败到备用数据中心。

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件：

准备工作

备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如，如果生产中有3个运行HDS节点的VM，则备份环境应该有3个VM。（请参阅用于灾难恢复的待机数据中心，了解此故障转移模型的概述。）
确保在主动和被动群集节点的数据库之间启用数据库同步。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

配置Syslogd服务器后，单击设置

在设置上，添加下面的配置以将节点置于被动模式。在此模式下，节点将注册到组织并连接到云，但不会处理任何流量。


passiveMode: 'true'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志以验证节点是否处于被动模式。您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

代理支持

混合数据安全节点支持以下代理选项：

无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理，这是缺省选项。无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是，节点需要根证书，以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。
显式代理 - 使用显式代理时，您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。要配置显式代理，您必须在每个节点上输入以下信息：
1. 代理 IP/FQDN - 可用于访问代理机器的地址。
2. 代理端口 - 代理用来侦听代理流量的端口号。
3. 代理协议 - 根据代理服务器支持的内容，选择以下协议之一：
  - HTTP - 查看和控制客户端发送的所有请求。
  - HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。
4. 验证类型 - 从以下验证类型中进行选择：
  - 无 - 无需进一步验证。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
  - 基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。
  - 摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。
    
    仅当您选择 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

阻止外部 DNS 解析模式（显式代理配置）

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全：

您必须拥有Pro Pack for Cisco Webex Control Hub。（请参阅 https://www.cisco.com/go/pro-pack。）

Docker Desktop要求

X.509证书要求

证书链必须满足以下要求：

表 1. 混合数据安全部署的X.509证书要求
要求	详细信息
由受信任的证书颁发机构(CA)签名	默认情况下，我们信任Mozilla列表中的CA（WoSign和StartCom除外），网址为 https://wiki.mozilla.org/CA:IncludedCAs。
标识混合数据安全部署的公用名(CN)域名不是通配符证书	CN无需可接通或为实时主持人。我们建议您使用反映您的组织的名称，例如， `hds.company.com` 。 CN不能包含*（通配符）。 CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。您的KMS使用CN域标识自己，而不是x.509v3 SAN字段中定义的任何域。使用此证书注册节点后，我们不支持更改CN域名。选择可以同时应用于试用版和生产版部署的域。
非SHA1签名	KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。
格式化为受密码保护的PKCS #12文件使用昵称： `kms-private-key` 来标记证书、私钥以及要上传的任何中间证书。	您可以使用转换器（例如OpenSSL）来更改证书的格式。运行HDS设置工具时，您需要输入密码。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求：

至少有两个独立的主机（推荐3个）位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5（或更高版本）。

如果您有较早版本的ESXi，则必须升级。
每台服务器至少有4个vCPU，8-GB主内存，30 GB本地硬盘空间

数据库服务器要求

创建密钥存储的新数据库。请勿使用默认数据库。 HDS应用程序安装后，创建数据库架构。

数据库服务器有两个选项。每一项的要求如下：

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

PostgreSQL 14、15或16，已安装并运行。

已安装SQL Server 2016、2017或2019（企业版或标准版）。

SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控，以确保其不超过上限（如果要长时间运行数据库而不需要增加存储空间，建议使用2TB）

HDS软件当前安装以下驱动程序版本，以便与数据库服务器通信：

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On（Always On故障转移群集实例和Always On可用性组）。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库，则需要在您的环境中进行以下配置：

HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。请参阅注册Kerberos连接的服务主体名称。

HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。在请求通过Kerberos验证访问时，他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接：

应用程序	协议	端口	应用程序的方向	目标位置
混合数据安全节点	TCP	443	出站HTTPS和WSS	Webex服务器： .wbx2.com .ciscospark.com 所有通用标识主机在 bex服务的网络要求的 bex混合服务的其他URL 中列出了用于混合数据安全的其他URL
HDS设置工具	TCP	443	出站HTTPS	*.wbx2.com 所有通用标识主机 hub.docker.com

通用标识(CI)主机的URL是区域特定的。以下是当前的CI主持人：

地区	通用标识主机URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

代理服务器要求

我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

透明代理 - Cisco Web 安全设备 (WSA)。

显式代理 - Squid。

用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。要解决此问题，请参阅为混合数据安全配置Squid Proxies。

我们支持显式代理的以下验证类型组合：
- 不进行 HTTP 或 HTTPS 验证
- 进行 HTTP 或 HTTPS 基本验证
- 仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理，您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题，绕过（不检查）流量至 wbx2.com 和 ciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。

为HDS部署选择域名(例如， hds.company.com)，并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须满足 X.509证书要求中的要求。

根据服务器要求，准备用作群集密钥数据存储的数据库服务器。数据库服务器必须与虚拟主机共享在安全数据中心。

创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后，创建数据库架构。)
收集节点用于与数据库服务器通信的详细信息：
- 主机名称或IP地址（主机）和端口
- 用于密钥存储的数据库名称(dbname)
- 具有密钥存储数据库所有权限的用户的用户名和密码

设置系统日志主机以从群集中的节点收集日志。收集其网络地址和系统日志端口（默认为UDP 514）。

由于混合数据安全节点存储用于加密和解密内容的密钥，如果无法维护运行部署，将导致该内容无法恢复的丢失。

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

要安装和运行HDS设置工具，本地机器必须具有外部连接要求中列出的连接。

如果要将代理与混合数据安全集成，请确保其符合代理服务器要求。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

将OVA文件下载到本地计算机以供后续使用。

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

从OVA文件创建虚拟机并执行初始配置，例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

登录到VM控制台并设置登录凭证。如果在OVA部署时未配置节点的网络设置，请配置该节点的网络设置。

从使用HDS设置工具创建的ISO配置文件配置VM。

如果网络环境需要代理配置，请指定要用于节点的代理类型，并根据需要将代理证书添加到信任存储区。

向Cisco Webex云注册VM作为混合数据安全节点。

完成群集设置。

运行试用并进入生产阶段（下一章）

在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下载安装文件

在此任务中，您可以将OVA文件下载到计算机（而不是您设置为混合数据安全节点的服务器）。该文件可用于后续的安装过程。

在“混合服务”部分，找到混合数据安全卡，然后单击设置。

您也可以随时从设置页面上的帮助部分下载OVA。在混合数据安全卡上，单击编辑设置以打开页面。然后，单击帮助部分中的下载混合数据安全软件。

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。升级应用程序时可能会出现问题。确保下载OVA文件的最新版本。

选择否表示您尚未设置节点，然后单击下一步。

OVA文件会自动开始下载。将文件保存到计算机上的某个位置。

或者，单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。然后使用ISO配置混合数据安全主机。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在进行配置更改时，您需要该文件的最新副本，例如：
- 数据库凭证
- 证书更新
- 授权策略更改
如果您计划加密数据库连接，请为TLS设置PostgreSQL或SQL Server部署。

在机器命令行中输入适用于您环境的命令：

在常规环境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。

要登录 Docker 映像注册表，请输入以下内容：

docker login -u hdscustomersro

在密码提示下，输入以下哈希：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下载适用于您环境的最新稳定映像：

在常规环境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker pull ciscocitg/hds-setup-fedramp:stable

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost， http://127.0.0.1:8080 ，并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。该工具随后会显示标准登录提示。

出现提示时，输入您的Control Hub客户管理员登录凭证，然后单击登录以允许访问混合数据安全所需的服务。

在Setup Tool概述页面上，单击 Get Started。

在 ISO导入页面上，您有以下选项：

否—如果要创建第一个HDS节点，则没有要上传的ISO文件。
是—如果您已经创建了HDS节点，则可以在浏览中选择ISO文件并上传。

检查您的X.509证书是否符合X.509证书要求中的要求。

如果您之前从未上传过证书，请上传X.509证书，输入密码，然后单击继续。
如果证书确定，请单击继续。
如果您的证书已过期或要替换，请选择否以继续使用HDS证书链和先前ISO的私钥？。上传新的X.509证书，输入密码，然后单击继续。

输入HDS的数据库地址和帐户以访问您的密钥数据存储：

选择您的数据库类型（PostgreSQL 或 Microsoft SQL Server）。

如果选择 Microsoft SQL Server，将会看到“身份验证类型”字段。
（仅Microsoft SQL Server）选择您的验证类型：
- 基本验证：您需要在名字段中提供本地SQL Server帐户名称。
- Windows验证：您需要一个格式为Windows帐户 username@DOMAIN 在用户名字段中。
在表单中输入数据库服务器地址 <hostname>:<port> 或 <IP-address>:<port> 。

例如：
dbhost.example.org:1433 或 198.51.100.17:1433

如果节点无法使用DNS解析主机名，可以使用IP地址进行基本验证。

如果您使用的是Windows验证，则必须以格式输入完全限定域名 dbhost.example.org:1433
输入数据库名称。
在密钥存储数据库中输入具有所有权限的用户的用户名和密码。

选择 <UNK> LS数据库连接模式：

模式

描述

首选 TLS（缺省选项）

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用TLS，节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。
节点还会验证服务器证书中的主机名是否与主机和端口字段中的主机名匹配。名称必须完全匹配，否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

在“系统日志”页面上，配置您的Sy 服务器：

输入系统日志服务器URL。

如果服务器无法从HDS群集的节点解析DNS，请在URL中使用IP地址。

例如：
udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
如果您将服务器设置为使用TLS加密，请检查您的系统日志服务器是否配置了SSL加密？。

如果选中此复选框，请确保输入TCP URL，例如 tcp://10.92.43.23:514 。
从选择系统日志记录终止下拉列表中，为您的ISO文件选择适当的设置： Select或Newline用于Graylog和Rsyslog TCP
- 字节为空-- \x00
- Newline -- \n-为Graylog和Rsyslog TCP选择此选项。
单击继续。

（可选）您可以在高级设置中更改某些数据库连接参数的默认值。通常，此参数是您唯一可能要更改的参数：

app_datasource_connection_pool_maxSize: 10

单击重置服务帐户密码屏幕上的继续。

服务帐户密码的有效期为九个月。当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

单击 ISO文件。将文件保存在易于查找的位置。

在本地系统上备份ISO文件。

确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

要关闭设置工具，请键入 CTRL+C 。

下一步

我们从来没有这个密钥的副本，如果你丢失了它，我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

选择“文件 > 部署 OVF 模板”。

在向导中，指定您之前下载的OVA文件的位置，然后单击 下一步。

在 选择名称和文件夹 页，输入 拟机名称 对于节点（例如“HDS_ode_1”），选择虚拟机节点部署可以驻留的位置，然后单击 下一步。

在 计算资源 页，选择目标计算资源，然后单击 下一步。

运行验证检查。完成后，将显示模板详细信息。

验证模板详细信息，然后单击下一步。

如果您被要求在 上选择资源配置 页，单击 4个CPU，然后单击 下一步。

在 存储空间 页，单击 下一步 接受默认磁盘格式和VM存储策略。

在网络页，从条目列表中选择网络选项以提供所需的VM连接。

在自定义模板页面上，配置以下网络设置：

主机名—输入FQDN（主机名和域）或节点的单字主机名。

您无需将域设置为与用于获取X.509证书的域匹配。
要确保成功注册到云，请在为节点设置的FQDN或主机名中仅使用小写字符。目前不支持大写字符。
FQDN 的总长度绝不得超过 64 个字符。

IP地址 -输入节点内部接口的IP地址。

节点应具有内部IP地址和DNS名称。不支持DHCP。
掩码-以点数表示输入子网掩码地址。例如，255.255.255.0。
网关—输入网关IP地址。网关是一个网络节点，可作为另一个网络的接入点。
DNS服务器-输入以逗号分隔的DNS服务器列表，用于将域名转换为数字IP地址。（最多允许4个DNS条目。）
NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。缺省NTP服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个NTP服务器。

在同一子网或VLAN上部署所有节点，以便出于管理目的，可以从网络中的客户端访问群集中的所有节点。

如果您愿意，可以跳过网络设置配置，然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

右键单击节点虚拟机，然后选择 > 电。

混合数据安全软件作为访客安装在VM主机上。您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前，您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息，此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。如果在部署OVA时未配置节点，也可以使用控制台配置节点的网络设置。

1	在VMware vSphere客户端中，选择混合数据安全节点VM，然后选择控制台选项卡。 VM启动并显示登录提示。如果没有显示登录提示，请按 Enter 键。
2	使用以下缺省登录和密码登录并更改凭证：登录名： `admin` 密码： `cisco` 由于您是首次登录VM，您需要更改管理员密码。
3	如果您已经在安装HDS主机OVA中配置了网络设置，请跳过此程序的其余部分。否则，在主菜单中选择编辑配置选项。
4	使用IP地址、掩码、网关和DNS信息设置静态配置。节点应具有内部IP地址和DNS名称。不支持DHCP。
5	（可选）根据需要更改主机名、域或NTP服务器，以匹配您的网络策略。您无需将域设置为与用于获取X.509证书的域匹配。
6	保存网络配置并重启虚拟机，使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

从您的计算机上传ISO文件：

在VMware vSphere客户端的左侧导航窗格中，单击ESXi服务器。
在配置标签页的硬件列表中，单击存储空间。
在数据存储列表中，右键单击VM的数据存储，然后单击浏览数据存储。
单击“上传文件”图标，然后单击“上传文件”。
浏览到您将ISO文件下载到计算机上的位置，然后单击打开。
单击是接受上传/下载操作警告，并关闭数据存储对话框。

安装ISO文件：

在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击确定以接受限制编辑选项警告。
单击 CD/DVD Drive 1 ，选择从数据存储ISO文件安装的选项，然后浏览到您上传配置ISO文件的位置。
检查已连接和接通电源时连接。
保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求，您可以选择在所有节点获取配置更改后卸载ISO文件。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

准备工作

请参阅支持受支持代理选项的概述。
代理服务器要求

1	输入HDS节点设置URL `https://[HDS Node IP or FQDN]/setup` 在Web浏览器中，输入您为节点设置的管理员凭证，然后单击登录。
2	转至信任库和代理，然后选择一个选项：无代理 - 集成代理之前的缺省选项。无需证书更新。透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。透明检查代理 - 节点没有配置为使用特定代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改，但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。显式代理 - 使用显式代理时，您可以告诉客户端（HDS 节点）要使用哪个代理服务器，并且此选项支持多种验证类型。选择此选项后，您必须输入以下信息：代理 IP/FQDN - 可用于访问代理机器的地址。代理端口 - 代理用来侦听代理流量的端口号。代理协议 - 选择 http（查看和控制从客户端接收的所有请求）或 https（提供到达服务器的通道以及客户端接收和验证服务器证书的通道）。根据代理服务器支持的内容选择一个选项。验证类型 - 从以下验证类型中进行选择：无 - 无需进一步验证。适用于 HTTP 或 HTTPS 代理。基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。适用于 HTTP 或 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。仅适用于 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。
3	单击上传根证书或最终实体证书，然后导航以选择代理的根证书。证书已上传但尚未安装，因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息，如果您操作错误并希望重新上传文件，请单击删除。
4	单击检查代理连接以测试节点和代理服务器之间的网络连接。如果连接测试失败，您将看到一条错误消息，其中显示了错误原因以及解决方法。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置，节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是错误，请完成这些步骤，然后查看关闭阻止的外部DNS解析模式。
5	在连接测试通过后，对于设置为仅限 https 的显式代理，打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。
6	单击将所有证书安装到信任库（对 HTTPS 显式代理或透明检查代理显示）或重启（对 HTTP 显式代理显示），阅读提示，然后在准备就绪后单击安装。节点在几分钟内重启。
7	节点重启后，重新登录（如需要），然后打开概述页面以执行连接检查，确保它们均为绿色状态。代理连接检查仅测试 webex.com 的子域。如果存在连接问题，常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点，向Webex云注册节点，然后将其转换为混合数据安全节点。

注册首个节点时，需要创建要将该节点分配到的集群。群集包含一个或多个用于提供冗余的节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	登录到 https://admin.webex.com。
2	从屏幕左侧的菜单中选择“服务”。
3	在“混合服务”部分，找到混合数据安全，然后单击设置。出现注册混合数据安全节点页。
4	选择是表示您已设置节点并准备好注册，然后单击下一步。
5	在第一个字段中，输入要分配混合数据安全节点的集群的名称。建议您基于群集节点的地理位置来命名该群集。例如： “旧金山”或“纽约”或“达拉斯”
6	在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。出现一条消息，表示您可以将节点注册到Webex。
7	单击转至节点。
8	单击警告消息中的继续。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认要向Webex组织授予访问您节点的权限。
9	选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。
10	单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。在混合数据安全页面上，将显示包含您注册的节点的新集群。该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点，只需创建其他VM并安装相同的配置ISO文件，然后注册该节点。我们建议您至少拥有3个节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	从OVA创建新虚拟机，重复安装HDS主机OVA中的步骤。
2	在新VM上设置初始配置，重复设置混合数据安全VM中的步骤。
3	在新的VM上，重复“上传并挂载HDS配置ISO”中的步骤。
4	如果要为部署设置代理，请根据需要为新节点重复为代理集成配置HDS节点中的步骤。
5	注册节点。在 https://admin.webex.com 中，从屏幕左侧的菜单中选择“服务”。在“混合服务”部分，找到混合数据安全卡，然后单击“资源”(Resources)。出现“混合数据安全资源”页。单击添加资源。在第一个字段中，选择现有集群的名称。在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。出现一条消息，表示您可以将节点注册到Webex云。单击转至节点。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认是否要向组织授予访问节点的权限。选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。节点已注册。请注意，在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下一步

运行试用并进入生产阶段（下一章）

运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后，您可以启动试点，向其添加用户，并开始使用它来测试和验证您的部署，为进入生产阶段做好准备。

准备工作

1	如果适用，同步 `HdsTrialGroup` 组对象。如果您的组织对用户使用目录同步，则必须选择 `HdsTrialGroup` 先对对象进行分组，以便同步到云，然后才能开始试用。有关说明，请参阅《Cisco目录连接器的指南》。
2	激活试用开始试用。在执行此任务之前，节点将生成警报，指示服务尚未激活。
3	测试混合数据安全部署检查关键请求是否传递给您的混合数据安全部署。
4	监控混合数据安全运行状况检查状态并设置警报的电子邮件通知。
5	从试用中添加或删除用户
6	通过以下操作之一完成试验阶段：从试用过渡到生产在不进入生产阶段的情况下结束试用

激活试用

准备工作

1	登录 https://admin.webex.com，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”部分，单击开始试用。服务状态将更改为试用模式。
4	单击添加用户，输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步，请使用Active Directory管理试用组， `HdsTrialGroup` 列表）

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志，以验证关键请求是否传递给混合数据安全部署。

给定空间的键由空间创建者设置。作为试点用户之一登录Webex应用程序，然后创建空间并邀请至少一个试点用户和一个非试点用户。

如果停用混合数据安全部署，则一旦替换了客户端缓存的加密密钥副本，将无法再访问试点用户创建的空间中的内容。

将消息发送到新空间。

检查系统日志输出，以验证关键请求是否传递给混合数据安全部署。

要在建立到KMS的安全通道之前检查用户，请在 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION:

您应该找到如下条目（为便于阅读而缩写的标识符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

要检查从KMS请求现有密钥的用户，请在 kms.data.method=retrieve 和 kms.data.type=KEY:

您应该找到以下条目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

要检查是否有用户请求创建新的KMS密钥，请按 kms.data.method=create 和 kms.data.type=KEY_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户，请在 kms.data.method=create 和 kms.data.type=RESOURCE_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

1	在 Control Hub中，从屏幕左侧的菜单中选择服务。
2	在“混合服务”部分，找到混合数据安全，然后单击设置。出现“混合数据安全设置”页。
3	在电子邮件通知部分，输入一个或多个以逗号分隔的电子邮件地址，然后按 Enter。

从试用中添加或删除用户

在激活试用并添加初始试用用户集后，您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户，用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。如果客户端需要存储在KMS上的密钥，云KMS将代表用户获取密钥。

如果您的组织使用目录同步，请使用Active Directory（而非此程序）管理试用组， HdsTrialGroup ；您可以在Control Hub中查看组成员，但无法添加或删除他们。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”区域的“试用模式”部分中，单击添加用户，或单击查看和编辑将用户从试用中删除。
4	输入要添加的一个或多个用户的电子邮件地址，或者通过用户ID单击 X 将该用户从试用中删除。然后单击保存。

从试用过渡到生产

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在Service Status部分，单击 Move to Production。
4	确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“停用”区域中，单击停用。
4	确认您要停用服务并结束试用。

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

要设置升级安排：

1	登录到 Control Hub。
2	在“概述”页面上的混合服务下，选择混合数据安全。
3	在“混合数据安全资源”页上，选择群集。
4	在右侧“概述”面板中的“集群设置”下，选择集群名称。
5	在“设置”页面中的“升级”下方，为升级安排选择时间与时区。注：下一可用升级的日期与时间显示在时区下。如有需要，您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因，有时可能需要更改混合数据安全节点的配置：

由于过期或其他原因而需要更改 x.509 证书。

我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

更新数据库设置，以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

创建新配置，以准备新的数据中心。

软重设 - 旧密码和新密码均最多使用 10 天。在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。

如果密码过期而未重设，其将影响 HDS 服务，需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要当前配置 ISO 文件的副本，才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO，包括数据库凭证、证书更新或授权策略的变更。

使用本地计算机上的 Docker 运行 HDS 设置工具。

在机器命令行中输入适用于您环境的命令：
在常规环境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。
要登录 Docker 映像注册表，请输入以下内容：
```
docker login -u hdscustomersro
```
在密码提示下，输入以下哈希：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下载适用于您环境的最新稳定映像：
在常规环境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

使用浏览器连接到本地主机，。 http://127.0.0.1:8080 。

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。
出现提示时，输入您的 Control Hub 客户登录凭证，然后单击接受继续操作。
导入当前配置 ISO 文件。
根据提示完成工具并下载更新后的文件。

要关闭设置工具，请键入 CTRL+C 。
在另一个数据中心为更新的文件创建备份副本。

安装 HDS 主机 OVA。
设置 HDS VM。
安装更新的配置文件。
在 Control Hub 中注册新节点。

对于运行旧配置文件的现有 HDS 节点，请设置 ISO 文件。请依次在每个节点上执行以下步骤，在关闭下一节点之前更新每个节点：

关闭虚拟机。
在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1，选择用于从 ISO 文件进行安装的选项，然后浏览到您下载新的配置 ISO 文件的位置。
选中开机时连接。
保存您的更改并打开虚拟机。

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称，则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称，并且您的节点可以与其通信。

1	在Web浏览器中，打开混合数据安全节点界面(例如，IP地址/设置，https://192.0.2.0/setup), 输入为节点设置的管理员凭证，然后单击 In。
2	转至概述（缺省页面）。启用后，阻止外部 DNS 解析会设置为是。
3	转至信任库和代理页面。
4	单击检查代理连接。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器并将保持此模式。否则，在您重启节点并返回概述页面后，阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从群集中删除节点后，删除虚拟机以防止进一步访问您的安全数据。

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

删除节点：

登录Control Hub，然后选择服务。
在混合数据安全卡上，单击查看全部以显示“混合数据安全资源”页。
选择簇以显示其概述面板。
单击节点列表。
在“节点”选项卡上，选择要删除的节点。
单击 > 注册节点。

在vSphere客户端中，删除VM。（在左侧导航窗格中，右键单击VM，然后单击删除。）

如果不删除虚拟机，请记得卸载配置ISO文件。如果没有ISO文件，您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

如果灾难导致主数据中心中的HDS部署不可用，请按照此程序手动将故障转移到备用数据中心。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

配置Syslogd服务器后，单击设置

在高级设置页面上，在下面添加配置或删除 passiveMode 使节点活动的配置。配置后，节点可以处理流量。


passiveMode: 'false'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志输出，以验证备用数据中心的节点未处于被动模式。系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后，如果主数据中心再次变为活动状态，请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

（可选）在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。但是，有些客户不希望ISO文件连续安装。您可以在所有HDS节点接受新配置后卸载ISO文件。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1	关闭其中一个HDS节点。
2	在vCenter Server 中，选择HDS节点。
3	选择设置 > <UNK> /DVD驱动器并取消选中存储器ISO文件。
4	打开HDS节点电源，并确保至少20分钟内没有警报。
5	对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

无法创建新空间（无法创建新密钥）
消息和空间标题无法解密：
- 添加到空间的新用户（无法获取密钥）
- 空间中使用新客户端的现有用户（无法获取密钥）
只要其客户端拥有加密密钥缓存，空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报，以避免服务中断。

警告

如果混合数据安全设置出现问题，Control Hub会向组织管理员显示警告，并向配置的电子邮件地址发送电子邮件。警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤
预警	操作
本地数据库访问失败。	检查数据库错误或本地网络问题。
本地数据库连接失败。	检查数据库服务器是否可用，并且节点配置中使用了正确的服务帐户凭证。
云服务访问失败。	检查节点是否可以按连接要求 Webex服务器。
续订云服务注册。	云服务的注册已取消。正在续订注册。
云服务注册已断开。	云服务的注册已终止。服务正在关闭。
服务尚未激活。	激活试用或完成将试用转入生产阶段。
配置的域与服务器证书不匹配。	确保服务器证书与配置的服务激活域匹配。最可能的原因是证书CN最近发生了更改，现在与初始设置期间使用的CN不同。
向云服务验证失败。	检查服务帐户凭证的准确性和可能的过期时间。
打开本地密钥库文件失败。	检查本地密钥库文件的完整性和密码准确性。
本地服务器证书无效。	检查服务器证书的到期日期，并确认它是由受信任的证书颁发机构颁发的。
无法发布指标。	检查外部云服务的本地网络访问。
/media/configdrive/hds目录不存在。	检查虚拟主机上的ISO安装配置。验证ISO文件是否存在，是否已配置为在重启时安装，以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时，请遵循以下一般准则。

1	查看Control Hub中的任何警告并修复您在此处找到的任何项目。
2	查看来自混合数据安全部署的系统日志服务器输出的活动。
3	请联系思科支持人员。

其他备注

混合数据安全的已知问题

如果您关闭混合数据安全群集（通过在Control Hub中删除该群集或关闭所有节点）、丢失配置ISO文件或失去对密钥库数据库的访问权限，Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。这适用于试用版和量产版部署。我们目前没有解决此问题的变通方法或修复方法，我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间（可能为一小时）。当用户成为混合数据安全试用的成员时，用户的客户端将继续使用现有的ECDH连接，直到超时。或者，用户可以注销并重新登录到Webex应用程序，以更新应用程序用于加密密钥的联系人位置。

当您为组织将试用转入生产模式时，也会发生相同的行为。所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务，直到ECDH连接重新协商（通过超时或注销和重新登录）。

使用OpenSSL生成PKCS12文件

准备工作

OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。还有其他方法可以做到这一点，我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL，我们提供此程序作为指导，帮助您创建符合X.509证书要求中的X.509证书要求的文件。请先了解这些要求，然后再继续。
在支持的环境中安装OpenSSL。有关软件和文档，请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。

1	当您从CA收到服务器证书时，将其另存为 `hdsnode.pem` 。
2	将证书显示为文本并验证详细信息。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文本编辑器创建名为证书捆绑包的文件。 `hdsnode-bundle.pem` 。捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用友好名称创建。p12文件 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	检查服务器证书详细信息。 `openssl pkcs12 -in hdsnode.p12` 在提示处输入密码以加密私钥，使其在输出中列出。然后，验证私钥和第一个证书是否包含线路 `friendlyName: kms-private-key`。例如： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合数据安全的前提条件。您将使用 hdsnode.p12 在为HDS主机创建配置ISO中为其设置的文件和密码。

在原始证书过期时，您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量：

来自客户端的加密请求，由加密服务路由
升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性，并将以下规则添加到 squid.conf 。随着我们不断开发功能和更新 Webex 云，这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新信息和更改信息

日期

已作更改

2023年10月20日

更新了服务器要求信息。
添加了灾难恢复的待机数据中心。
在用于灾难恢复的备用数据中心和使用备用数据中心的灾难恢复中更新了信息。

2023年8月7日

在下载安装文件中添加了说明。
在为HDS主机创建配置ISO和更改节点配置中添加了说明。

2023年5月23日

通过联系客户团队请求启用功能的服务器要求中删除的信息。
更新外部连接要求中的信息并将加拿大添加到CI主机表格。
在部署混合数据安全的期望中添加了关于将密钥移回云端的机制不可用的说明。

2022年12月6日

HDS设置工具映像现在托管在 ciscocitg dockerhub 存储库。
更新了为HDS主机创建配置ISO 和更改节点配置主题以重新处理命令中的更改。

2022年11月23日

HDS节点现在可以对Microsoft SQL Server使用Windows验证。

更新了服务器要求主题，添加了此验证模式的其他要求。

更新了使用在节点上配置Windows验证的程序 HDS主机的配置ISO。
使用新的最低要求版本(PostgreSQL 10)更新了服务器要求主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。请参阅 ker桌面要求（Docker桌面要求）。

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。有关详细信息，请参阅 OpenSSL生成PKCS12文件。

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。有关详细信息，请参阅虚拟主机要求。

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件。

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO，并通过更改登录过程来更改节点配置。

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了主机要求以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机配置ISO ，以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了主机要求，显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求。

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求。

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。

2020年2月4日更新了服务器要求。

2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。

2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息：

代理支持
配置用于代理集成的 HDS 节点
关闭阻止外部 DNS 解析模式

2019 年 11 月 8 日

现在，您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节：

混合数据安全部署任务流程
安装HDS主机OVA
设置混合数据安全虚拟机

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到服务器要求。

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录，附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。

2019 年 8 月 20 日

添加并更新了部分，以涵盖对混合数据安全节点与Webex云通信的代理支持。

代理支持
代理服务器要求
配置用于代理集成的 HDS 节点

要仅访问现有部署的代理支持内容，请参阅混合数据安全的支持和Webex视频网帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”，并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步，则在开始试用之前对对象进行分组。

2019年3月6日

将要求和前提条件移到单独的一章中，准备您的环境。
在设置混合数据安全群集一章中添加了混合数据安全部署任务流程概述。

请注意，在您开始试用之前（使用后续章节中的说明），您的节点会生成警报，指示您的服务尚未激活。
在“运行试用并转入生产”一章中添加了试用到生产中的任务流程。

2019 年 2 月 28 日

更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量，从50 GB到20 GB，以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接，以及与支持TLS的系统日志服务器的加密日志连接。更新了说明为HDS主机创建配置ISO 。
从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前，我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日

在为HDS主机创建配置ISO和更改节点配置中添加了清理任何现有docker HDS实例的初步步骤。
更新了为HDS主机创建配置ISO以匹配接口的密钥访问级别步骤。

2018 年 10 月 19 日

在完成混合数据安全的前提条件中，将防火墙连接信息拆分为节点要求和ISO配置机器要求。

2018 年 7 月 31 日

添加了端口22（SSH访问）和有关NAT和防火墙连接的信息，以完成混合数据安全的前提条件。

2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名：

Cisco Spark混合数据安全现为混合数据安全。
Cisco Spark应用程序现在是Webex应用程序。
Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日

已添加用于灾难恢复的待机数据中心。
更新了完成混合数据安全的前提条件，以指定备份环境应位于不同的数据中心。
已更新待机数据中心的灾难恢复。

2018 年 2 月 22 日

在为HDS主机创建配置ISO 和更改节点配置中，添加了有关服务帐户密码9个月有效期以及使用HDS设置工具重置服务帐户密码的信息。

2018 年 2 月 15 日

在 <UNK> 。509证书要求表中指定证书不能是通配符证书，并且KMS使用CN域，而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

添加了附录， <UNK> DS节点和云之间的流量。
已从混合数据安全的已知问题中删除一个已解决的问题。
已将index.docker。io更改为*。docker。io并将*。cloudfront.net添加到混合数据安全的前提条件 HDS节点的TCP连接要求列表中。
更新了为HDS主机创建配置ISO ，以指示如果数据库主机和Syslogd服务器无法从HDS节点解析DNS，则必须使用IP地址配置它们。

2017年11月2日

澄清HdsTrialGroup的目录同步。
修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域，如下所示。

在此图中，客户端是运行在用户笔记本电脑上的Webex应用程序，并已通过身份服务进行身份验证。当用户编写要发送到空间的消息时，将执行以下步骤：

客户端与密钥管理服务(KMS)建立安全连接，然后请求密钥对消息进行加密。安全连接使用ECDH，KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。客户端将其发送到索引服务，该服务创建加密的搜索索引，以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。

部署混合数据安全时，将安全领域功能（KMS、索引和合规性）移至本地数据中心。构成Webex的其他云服务（包括身份和内容存储）仍保留在Cisco的领域。

与其他组织协作

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺，并了解拥有加密密钥所带来的风险。

要部署混合数据安全，您必须提供：

位于Cisco Webex Teams计划支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。

管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复，例如数据库磁盘故障或数据中心灾难。

在HDS部署后，没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理：

设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件，在试用模式下使用部分用户对部署进行测试，以及在测试完成后进入生产阶段。这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。您的IT部门可以为此部署提供一级支持，并根据需要聘请Cisco支持人员。您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题，本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内，您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。节点通过安全Websoc 和安全HTTP与Webex云通信。

混合数据安全部署模型

群集中的所有节点访问同一密钥数据存储，并将活动记录到同一系统日志服务器。节点本身是无状态的，并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时，节点将变为活动状态。要使单个节点退出服务，您可以取消注册，然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

用于灾难恢复的备用数据中心

在部署期间，您可以设置安全的备用数据中心。在数据中心发生灾难时，您可以手动将部署失败到备用数据中心。

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件：

准备工作

备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如，如果生产中有3个运行HDS节点的VM，则备份环境应该有3个VM。（请参阅用于灾难恢复的待机数据中心，了解此故障转移模型的概述。）
确保在主动和被动群集节点的数据库之间启用数据库同步。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

配置Syslogd服务器后，单击设置

在设置上，添加下面的配置以将节点置于被动模式。在此模式下，节点将注册到组织并连接到云，但不会处理任何流量。


passiveMode: 'true'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志以验证节点是否处于被动模式。您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

代理支持

混合数据安全节点支持以下代理选项：

无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理，这是缺省选项。无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是，节点需要根证书，以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。
显式代理 - 使用显式代理时，您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。要配置显式代理，您必须在每个节点上输入以下信息：
1. 代理 IP/FQDN - 可用于访问代理机器的地址。
2. 代理端口 - 代理用来侦听代理流量的端口号。
3. 代理协议 - 根据代理服务器支持的内容，选择以下协议之一：
  - HTTP - 查看和控制客户端发送的所有请求。
  - HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。
4. 验证类型 - 从以下验证类型中进行选择：
  - 无 - 无需进一步验证。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
  - 基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。
  - 摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。
    
    仅当您选择 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

阻止外部 DNS 解析模式（显式代理配置）

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全：

您必须拥有Pro Pack for Cisco Webex Control Hub。（请参阅 https://www.cisco.com/go/pro-pack。）

Docker Desktop要求

X.509证书要求

证书链必须满足以下要求：

表 1. 混合数据安全部署的X.509证书要求
要求	详细信息
由受信任的证书颁发机构(CA)签名	默认情况下，我们信任Mozilla列表中的CA（WoSign和StartCom除外），网址为 https://wiki.mozilla.org/CA:IncludedCAs。
标识混合数据安全部署的公用名(CN)域名不是通配符证书	CN无需可接通或为实时主持人。我们建议您使用反映您的组织的名称，例如， `hds.company.com` 。 CN不能包含*（通配符）。 CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。您的KMS使用CN域标识自己，而不是x.509v3 SAN字段中定义的任何域。使用此证书注册节点后，我们不支持更改CN域名。选择可以同时应用于试用版和生产版部署的域。
非SHA1签名	KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。
格式化为受密码保护的PKCS #12文件使用昵称： `kms-private-key` 来标记证书、私钥以及要上传的任何中间证书。	您可以使用转换器（例如OpenSSL）来更改证书的格式。运行HDS设置工具时，您需要输入密码。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求：

至少有两个独立的主机（推荐3个）位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5（或更高版本）。

如果您有较早版本的ESXi，则必须升级。
每台服务器至少有4个vCPU，8-GB主内存，30 GB本地硬盘空间

数据库服务器要求

创建密钥存储的新数据库。请勿使用默认数据库。 HDS应用程序安装后，创建数据库架构。

数据库服务器有两个选项。每一项的要求如下：

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

PostgreSQL 14、15或16，已安装并运行。

已安装SQL Server 2016、2017或2019（企业版或标准版）。

SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控，以确保其不超过上限（如果要长时间运行数据库而不需要增加存储空间，建议使用2TB）

HDS软件当前安装以下驱动程序版本，以便与数据库服务器通信：

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On（Always On故障转移群集实例和Always On可用性组）。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库，则需要在您的环境中进行以下配置：

HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。请参阅注册Kerberos连接的服务主体名称。

HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。在请求通过Kerberos验证访问时，他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接：

应用程序	协议	端口	应用程序的方向	目标位置
混合数据安全节点	TCP	443	出站HTTPS和WSS	Webex服务器： .wbx2.com .ciscospark.com 所有通用标识主机在 bex服务的网络要求的 bex混合服务的其他URL 中列出了用于混合数据安全的其他URL
HDS设置工具	TCP	443	出站HTTPS	*.wbx2.com 所有通用标识主机 hub.docker.com

通用标识(CI)主机的URL是区域特定的。以下是当前的CI主持人：

地区	通用标识主机URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

代理服务器要求

我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

透明代理 - Cisco Web 安全设备 (WSA)。

显式代理 - Squid。

用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。要解决此问题，请参阅为混合数据安全配置Squid Proxies。

我们支持显式代理的以下验证类型组合：
- 不进行 HTTP 或 HTTPS 验证
- 进行 HTTP 或 HTTPS 基本验证
- 仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理，您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题，绕过（不检查）流量至 wbx2.com 和 ciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。

为HDS部署选择域名(例如， hds.company.com)，并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须满足 X.509证书要求中的要求。

根据服务器要求，准备用作群集密钥数据存储的数据库服务器。数据库服务器必须与虚拟主机共享在安全数据中心。

创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后，创建数据库架构。)
收集节点用于与数据库服务器通信的详细信息：
- 主机名称或IP地址（主机）和端口
- 用于密钥存储的数据库名称(dbname)
- 具有密钥存储数据库所有权限的用户的用户名和密码

设置系统日志主机以从群集中的节点收集日志。收集其网络地址和系统日志端口（默认为UDP 514）。

由于混合数据安全节点存储用于加密和解密内容的密钥，如果无法维护运行部署，将导致该内容无法恢复的丢失。

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

要安装和运行HDS设置工具，本地机器必须具有外部连接要求中列出的连接。

如果要将代理与混合数据安全集成，请确保其符合代理服务器要求。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

将OVA文件下载到本地计算机以供后续使用。

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

从OVA文件创建虚拟机并执行初始配置，例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

登录到VM控制台并设置登录凭证。如果在OVA部署时未配置节点的网络设置，请配置该节点的网络设置。

从使用HDS设置工具创建的ISO配置文件配置VM。

如果网络环境需要代理配置，请指定要用于节点的代理类型，并根据需要将代理证书添加到信任存储区。

向Cisco Webex云注册VM作为混合数据安全节点。

完成群集设置。

运行试用并进入生产阶段（下一章）

在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下载安装文件

在此任务中，您可以将OVA文件下载到计算机（而不是您设置为混合数据安全节点的服务器）。该文件可用于后续的安装过程。

在“混合服务”部分，找到混合数据安全卡，然后单击设置。

您也可以随时从设置页面上的帮助部分下载OVA。在混合数据安全卡上，单击编辑设置以打开页面。然后，单击帮助部分中的下载混合数据安全软件。

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。升级应用程序时可能会出现问题。确保下载OVA文件的最新版本。

选择否表示您尚未设置节点，然后单击下一步。

OVA文件会自动开始下载。将文件保存到计算机上的某个位置。

或者，单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。然后使用ISO配置混合数据安全主机。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在进行配置更改时，您需要该文件的最新副本，例如：
- 数据库凭证
- 证书更新
- 授权策略更改
如果您计划加密数据库连接，请为TLS设置PostgreSQL或SQL Server部署。

在机器命令行中输入适用于您环境的命令：

在常规环境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。

要登录 Docker 映像注册表，请输入以下内容：

docker login -u hdscustomersro

在密码提示下，输入以下哈希：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下载适用于您环境的最新稳定映像：

在常规环境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker pull ciscocitg/hds-setup-fedramp:stable

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost， http://127.0.0.1:8080 ，并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。该工具随后会显示标准登录提示。

出现提示时，输入您的Control Hub客户管理员登录凭证，然后单击登录以允许访问混合数据安全所需的服务。

在Setup Tool概述页面上，单击 Get Started。

在 ISO导入页面上，您有以下选项：

否—如果要创建第一个HDS节点，则没有要上传的ISO文件。
是—如果您已经创建了HDS节点，则可以在浏览中选择ISO文件并上传。

检查您的X.509证书是否符合X.509证书要求中的要求。

如果您之前从未上传过证书，请上传X.509证书，输入密码，然后单击继续。
如果证书确定，请单击继续。
如果您的证书已过期或要替换，请选择否以继续使用HDS证书链和先前ISO的私钥？。上传新的X.509证书，输入密码，然后单击继续。

输入HDS的数据库地址和帐户以访问您的密钥数据存储：

选择您的数据库类型（PostgreSQL 或 Microsoft SQL Server）。

如果选择 Microsoft SQL Server，将会看到“身份验证类型”字段。
（仅Microsoft SQL Server）选择您的验证类型：
- 基本验证：您需要在名字段中提供本地SQL Server帐户名称。
- Windows验证：您需要一个格式为Windows帐户 username@DOMAIN 在用户名字段中。
在表单中输入数据库服务器地址 <hostname>:<port> 或 <IP-address>:<port> 。

例如：
dbhost.example.org:1433 或 198.51.100.17:1433

如果节点无法使用DNS解析主机名，可以使用IP地址进行基本验证。

如果您使用的是Windows验证，则必须以格式输入完全限定域名 dbhost.example.org:1433
输入数据库名称。
在密钥存储数据库中输入具有所有权限的用户的用户名和密码。

选择 <UNK> LS数据库连接模式：

模式

描述

首选 TLS（缺省选项）

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用TLS，节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。
节点还会验证服务器证书中的主机名是否与主机和端口字段中的主机名匹配。名称必须完全匹配，否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

在“系统日志”页面上，配置您的Sy 服务器：

输入系统日志服务器URL。

如果服务器无法从HDS群集的节点解析DNS，请在URL中使用IP地址。

例如：
udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
如果您将服务器设置为使用TLS加密，请检查您的系统日志服务器是否配置了SSL加密？。

如果选中此复选框，请确保输入TCP URL，例如 tcp://10.92.43.23:514 。
从选择系统日志记录终止下拉列表中，为您的ISO文件选择适当的设置： Select或Newline用于Graylog和Rsyslog TCP
- 字节为空-- \x00
- Newline -- \n-为Graylog和Rsyslog TCP选择此选项。
单击继续。

（可选）您可以在高级设置中更改某些数据库连接参数的默认值。通常，此参数是您唯一可能要更改的参数：

app_datasource_connection_pool_maxSize: 10

单击重置服务帐户密码屏幕上的继续。

服务帐户密码的有效期为九个月。当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

单击 ISO文件。将文件保存在易于查找的位置。

在本地系统上备份ISO文件。

确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

要关闭设置工具，请键入 CTRL+C 。

下一步

我们从来没有这个密钥的副本，如果你丢失了它，我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

选择“文件 > 部署 OVF 模板”。

在向导中，指定您之前下载的OVA文件的位置，然后单击 下一步。

在 选择名称和文件夹 页，输入 拟机名称 对于节点（例如“HDS_ode_1”），选择虚拟机节点部署可以驻留的位置，然后单击 下一步。

在 计算资源 页，选择目标计算资源，然后单击 下一步。

运行验证检查。完成后，将显示模板详细信息。

验证模板详细信息，然后单击下一步。

如果您被要求在 上选择资源配置 页，单击 4个CPU，然后单击 下一步。

在 存储空间 页，单击 下一步 接受默认磁盘格式和VM存储策略。

在网络页，从条目列表中选择网络选项以提供所需的VM连接。

在自定义模板页面上，配置以下网络设置：

主机名—输入FQDN（主机名和域）或节点的单字主机名。

您无需将域设置为与用于获取X.509证书的域匹配。
要确保成功注册到云，请在为节点设置的FQDN或主机名中仅使用小写字符。目前不支持大写字符。
FQDN 的总长度绝不得超过 64 个字符。

IP地址 -输入节点内部接口的IP地址。

节点应具有内部IP地址和DNS名称。不支持DHCP。
掩码-以点数表示输入子网掩码地址。例如，255.255.255.0。
网关—输入网关IP地址。网关是一个网络节点，可作为另一个网络的接入点。
DNS服务器-输入以逗号分隔的DNS服务器列表，用于将域名转换为数字IP地址。（最多允许4个DNS条目。）
NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。缺省NTP服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个NTP服务器。

在同一子网或VLAN上部署所有节点，以便出于管理目的，可以从网络中的客户端访问群集中的所有节点。

如果您愿意，可以跳过网络设置配置，然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

右键单击节点虚拟机，然后选择 > 电。

混合数据安全软件作为访客安装在VM主机上。您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前，您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息，此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。如果在部署OVA时未配置节点，也可以使用控制台配置节点的网络设置。

1	在VMware vSphere客户端中，选择混合数据安全节点VM，然后选择控制台选项卡。 VM启动并显示登录提示。如果没有显示登录提示，请按 Enter 键。
2	使用以下缺省登录和密码登录并更改凭证：登录名： `admin` 密码： `cisco` 由于您是首次登录VM，您需要更改管理员密码。
3	如果您已经在安装HDS主机OVA中配置了网络设置，请跳过此程序的其余部分。否则，在主菜单中选择编辑配置选项。
4	使用IP地址、掩码、网关和DNS信息设置静态配置。节点应具有内部IP地址和DNS名称。不支持DHCP。
5	（可选）根据需要更改主机名、域或NTP服务器，以匹配您的网络策略。您无需将域设置为与用于获取X.509证书的域匹配。
6	保存网络配置并重启虚拟机，使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

从您的计算机上传ISO文件：

在VMware vSphere客户端的左侧导航窗格中，单击ESXi服务器。
在配置标签页的硬件列表中，单击存储空间。
在数据存储列表中，右键单击VM的数据存储，然后单击浏览数据存储。
单击“上传文件”图标，然后单击“上传文件”。
浏览到您将ISO文件下载到计算机上的位置，然后单击打开。
单击是接受上传/下载操作警告，并关闭数据存储对话框。

安装ISO文件：

在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击确定以接受限制编辑选项警告。
单击 CD/DVD Drive 1 ，选择从数据存储ISO文件安装的选项，然后浏览到您上传配置ISO文件的位置。
检查已连接和接通电源时连接。
保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求，您可以选择在所有节点获取配置更改后卸载ISO文件。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

准备工作

请参阅支持受支持代理选项的概述。
代理服务器要求

1	输入HDS节点设置URL `https://[HDS Node IP or FQDN]/setup` 在Web浏览器中，输入您为节点设置的管理员凭证，然后单击登录。
2	转至信任库和代理，然后选择一个选项：无代理 - 集成代理之前的缺省选项。无需证书更新。透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。透明检查代理 - 节点没有配置为使用特定代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改，但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。显式代理 - 使用显式代理时，您可以告诉客户端（HDS 节点）要使用哪个代理服务器，并且此选项支持多种验证类型。选择此选项后，您必须输入以下信息：代理 IP/FQDN - 可用于访问代理机器的地址。代理端口 - 代理用来侦听代理流量的端口号。代理协议 - 选择 http（查看和控制从客户端接收的所有请求）或 https（提供到达服务器的通道以及客户端接收和验证服务器证书的通道）。根据代理服务器支持的内容选择一个选项。验证类型 - 从以下验证类型中进行选择：无 - 无需进一步验证。适用于 HTTP 或 HTTPS 代理。基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。适用于 HTTP 或 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。仅适用于 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。
3	单击上传根证书或最终实体证书，然后导航以选择代理的根证书。证书已上传但尚未安装，因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息，如果您操作错误并希望重新上传文件，请单击删除。
4	单击检查代理连接以测试节点和代理服务器之间的网络连接。如果连接测试失败，您将看到一条错误消息，其中显示了错误原因以及解决方法。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置，节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是错误，请完成这些步骤，然后查看关闭阻止的外部DNS解析模式。
5	在连接测试通过后，对于设置为仅限 https 的显式代理，打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。
6	单击将所有证书安装到信任库（对 HTTPS 显式代理或透明检查代理显示）或重启（对 HTTP 显式代理显示），阅读提示，然后在准备就绪后单击安装。节点在几分钟内重启。
7	节点重启后，重新登录（如需要），然后打开概述页面以执行连接检查，确保它们均为绿色状态。代理连接检查仅测试 webex.com 的子域。如果存在连接问题，常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点，向Webex云注册节点，然后将其转换为混合数据安全节点。

注册首个节点时，需要创建要将该节点分配到的集群。群集包含一个或多个用于提供冗余的节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	登录到 https://admin.webex.com。
2	从屏幕左侧的菜单中选择“服务”。
3	在“混合服务”部分，找到混合数据安全，然后单击设置。出现注册混合数据安全节点页。
4	选择是表示您已设置节点并准备好注册，然后单击下一步。
5	在第一个字段中，输入要分配混合数据安全节点的集群的名称。建议您基于群集节点的地理位置来命名该群集。例如： “旧金山”或“纽约”或“达拉斯”
6	在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。出现一条消息，表示您可以将节点注册到Webex。
7	单击转至节点。
8	单击警告消息中的继续。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认要向Webex组织授予访问您节点的权限。
9	选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。
10	单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。在混合数据安全页面上，将显示包含您注册的节点的新集群。该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点，只需创建其他VM并安装相同的配置ISO文件，然后注册该节点。我们建议您至少拥有3个节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	从OVA创建新虚拟机，重复安装HDS主机OVA中的步骤。
2	在新VM上设置初始配置，重复设置混合数据安全VM中的步骤。
3	在新的VM上，重复“上传并挂载HDS配置ISO”中的步骤。
4	如果要为部署设置代理，请根据需要为新节点重复为代理集成配置HDS节点中的步骤。
5	注册节点。在 https://admin.webex.com 中，从屏幕左侧的菜单中选择“服务”。在“混合服务”部分，找到混合数据安全卡，然后单击“资源”(Resources)。出现“混合数据安全资源”页。单击添加资源。在第一个字段中，选择现有集群的名称。在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。出现一条消息，表示您可以将节点注册到Webex云。单击转至节点。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认是否要向组织授予访问节点的权限。选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。节点已注册。请注意，在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下一步

运行试用并进入生产阶段（下一章）

运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后，您可以启动试点，向其添加用户，并开始使用它来测试和验证您的部署，为进入生产阶段做好准备。

准备工作

1	如果适用，同步 `HdsTrialGroup` 组对象。如果您的组织对用户使用目录同步，则必须选择 `HdsTrialGroup` 先对对象进行分组，以便同步到云，然后才能开始试用。有关说明，请参阅《Cisco目录连接器的指南》。
2	激活试用开始试用。在执行此任务之前，节点将生成警报，指示服务尚未激活。
3	测试混合数据安全部署检查关键请求是否传递给您的混合数据安全部署。
4	监控混合数据安全运行状况检查状态并设置警报的电子邮件通知。
5	从试用中添加或删除用户
6	通过以下操作之一完成试验阶段：从试用过渡到生产在不进入生产阶段的情况下结束试用

激活试用

准备工作

1	登录 https://admin.webex.com，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”部分，单击开始试用。服务状态将更改为试用模式。
4	单击添加用户，输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步，请使用Active Directory管理试用组， `HdsTrialGroup` 列表）

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志，以验证关键请求是否传递给混合数据安全部署。

给定空间的键由空间创建者设置。作为试点用户之一登录Webex应用程序，然后创建空间并邀请至少一个试点用户和一个非试点用户。

如果停用混合数据安全部署，则一旦替换了客户端缓存的加密密钥副本，将无法再访问试点用户创建的空间中的内容。

将消息发送到新空间。

检查系统日志输出，以验证关键请求是否传递给混合数据安全部署。

要在建立到KMS的安全通道之前检查用户，请在 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION:

您应该找到如下条目（为便于阅读而缩写的标识符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

要检查从KMS请求现有密钥的用户，请在 kms.data.method=retrieve 和 kms.data.type=KEY:

您应该找到以下条目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

要检查是否有用户请求创建新的KMS密钥，请按 kms.data.method=create 和 kms.data.type=KEY_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户，请在 kms.data.method=create 和 kms.data.type=RESOURCE_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

1	在 Control Hub中，从屏幕左侧的菜单中选择服务。
2	在“混合服务”部分，找到混合数据安全，然后单击设置。出现“混合数据安全设置”页。
3	在电子邮件通知部分，输入一个或多个以逗号分隔的电子邮件地址，然后按 Enter。

从试用中添加或删除用户

在激活试用并添加初始试用用户集后，您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户，用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。如果客户端需要存储在KMS上的密钥，云KMS将代表用户获取密钥。

如果您的组织使用目录同步，请使用Active Directory（而非此程序）管理试用组， HdsTrialGroup ；您可以在Control Hub中查看组成员，但无法添加或删除他们。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”区域的“试用模式”部分中，单击添加用户，或单击查看和编辑将用户从试用中删除。
4	输入要添加的一个或多个用户的电子邮件地址，或者通过用户ID单击 X 将该用户从试用中删除。然后单击保存。

从试用过渡到生产

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在Service Status部分，单击 Move to Production。
4	确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“停用”区域中，单击停用。
4	确认您要停用服务并结束试用。

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

要设置升级安排：

1	登录到 Control Hub。
2	在“概述”页面上的混合服务下，选择混合数据安全。
3	在“混合数据安全资源”页上，选择群集。
4	在右侧“概述”面板中的“集群设置”下，选择集群名称。
5	在“设置”页面中的“升级”下方，为升级安排选择时间与时区。注：下一可用升级的日期与时间显示在时区下。如有需要，您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因，有时可能需要更改混合数据安全节点的配置：

由于过期或其他原因而需要更改 x.509 证书。

我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

更新数据库设置，以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

创建新配置，以准备新的数据中心。

软重设 - 旧密码和新密码均最多使用 10 天。在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。

如果密码过期而未重设，其将影响 HDS 服务，需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要当前配置 ISO 文件的副本，才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO，包括数据库凭证、证书更新或授权策略的变更。

使用本地计算机上的 Docker 运行 HDS 设置工具。

在机器命令行中输入适用于您环境的命令：
在常规环境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。
要登录 Docker 映像注册表，请输入以下内容：
```
docker login -u hdscustomersro
```
在密码提示下，输入以下哈希：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下载适用于您环境的最新稳定映像：
在常规环境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

使用浏览器连接到本地主机，。 http://127.0.0.1:8080 。

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。
出现提示时，输入您的 Control Hub 客户登录凭证，然后单击接受继续操作。
导入当前配置 ISO 文件。
根据提示完成工具并下载更新后的文件。

要关闭设置工具，请键入 CTRL+C 。
在另一个数据中心为更新的文件创建备份副本。

安装 HDS 主机 OVA。
设置 HDS VM。
安装更新的配置文件。
在 Control Hub 中注册新节点。

对于运行旧配置文件的现有 HDS 节点，请设置 ISO 文件。请依次在每个节点上执行以下步骤，在关闭下一节点之前更新每个节点：

关闭虚拟机。
在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1，选择用于从 ISO 文件进行安装的选项，然后浏览到您下载新的配置 ISO 文件的位置。
选中开机时连接。
保存您的更改并打开虚拟机。

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称，则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称，并且您的节点可以与其通信。

1	在Web浏览器中，打开混合数据安全节点界面(例如，IP地址/设置，https://192.0.2.0/setup), 输入为节点设置的管理员凭证，然后单击 In。
2	转至概述（缺省页面）。启用后，阻止外部 DNS 解析会设置为是。
3	转至信任库和代理页面。
4	单击检查代理连接。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器并将保持此模式。否则，在您重启节点并返回概述页面后，阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从群集中删除节点后，删除虚拟机以防止进一步访问您的安全数据。

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

删除节点：

登录Control Hub，然后选择服务。
在混合数据安全卡上，单击查看全部以显示“混合数据安全资源”页。
选择簇以显示其概述面板。
单击节点列表。
在“节点”选项卡上，选择要删除的节点。
单击 > 注册节点。

在vSphere客户端中，删除VM。（在左侧导航窗格中，右键单击VM，然后单击删除。）

如果不删除虚拟机，请记得卸载配置ISO文件。如果没有ISO文件，您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

如果灾难导致主数据中心中的HDS部署不可用，请按照此程序手动将故障转移到备用数据中心。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

配置Syslogd服务器后，单击设置

在高级设置页面上，在下面添加配置或删除 passiveMode 使节点活动的配置。配置后，节点可以处理流量。


passiveMode: 'false'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志输出，以验证备用数据中心的节点未处于被动模式。系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后，如果主数据中心再次变为活动状态，请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

（可选）在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。但是，有些客户不希望ISO文件连续安装。您可以在所有HDS节点接受新配置后卸载ISO文件。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1	关闭其中一个HDS节点。
2	在vCenter Server 中，选择HDS节点。
3	选择设置 > <UNK> /DVD驱动器并取消选中存储器ISO文件。
4	打开HDS节点电源，并确保至少20分钟内没有警报。
5	对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

无法创建新空间（无法创建新密钥）
消息和空间标题无法解密：
- 添加到空间的新用户（无法获取密钥）
- 空间中使用新客户端的现有用户（无法获取密钥）
只要其客户端拥有加密密钥缓存，空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报，以避免服务中断。

警告

如果混合数据安全设置出现问题，Control Hub会向组织管理员显示警告，并向配置的电子邮件地址发送电子邮件。警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤
预警	操作
本地数据库访问失败。	检查数据库错误或本地网络问题。
本地数据库连接失败。	检查数据库服务器是否可用，并且节点配置中使用了正确的服务帐户凭证。
云服务访问失败。	检查节点是否可以按连接要求 Webex服务器。
续订云服务注册。	云服务的注册已取消。正在续订注册。
云服务注册已断开。	云服务的注册已终止。服务正在关闭。
服务尚未激活。	激活试用或完成将试用转入生产阶段。
配置的域与服务器证书不匹配。	确保服务器证书与配置的服务激活域匹配。最可能的原因是证书CN最近发生了更改，现在与初始设置期间使用的CN不同。
向云服务验证失败。	检查服务帐户凭证的准确性和可能的过期时间。
打开本地密钥库文件失败。	检查本地密钥库文件的完整性和密码准确性。
本地服务器证书无效。	检查服务器证书的到期日期，并确认它是由受信任的证书颁发机构颁发的。
无法发布指标。	检查外部云服务的本地网络访问。
/media/configdrive/hds目录不存在。	检查虚拟主机上的ISO安装配置。验证ISO文件是否存在，是否已配置为在重启时安装，以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时，请遵循以下一般准则。

1	查看Control Hub中的任何警告并修复您在此处找到的任何项目。
2	查看来自混合数据安全部署的系统日志服务器输出的活动。
3	请联系思科支持人员。

其他备注

混合数据安全的已知问题

如果您关闭混合数据安全群集（通过在Control Hub中删除该群集或关闭所有节点）、丢失配置ISO文件或失去对密钥库数据库的访问权限，Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。这适用于试用版和量产版部署。我们目前没有解决此问题的变通方法或修复方法，我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间（可能为一小时）。当用户成为混合数据安全试用的成员时，用户的客户端将继续使用现有的ECDH连接，直到超时。或者，用户可以注销并重新登录到Webex应用程序，以更新应用程序用于加密密钥的联系人位置。

当您为组织将试用转入生产模式时，也会发生相同的行为。所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务，直到ECDH连接重新协商（通过超时或注销和重新登录）。

使用OpenSSL生成PKCS12文件

准备工作

OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。还有其他方法可以做到这一点，我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL，我们提供此程序作为指导，帮助您创建符合X.509证书要求中的X.509证书要求的文件。请先了解这些要求，然后再继续。
在支持的环境中安装OpenSSL。有关软件和文档，请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。

1	当您从CA收到服务器证书时，将其另存为 `hdsnode.pem` 。
2	将证书显示为文本并验证详细信息。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文本编辑器创建名为证书捆绑包的文件。 `hdsnode-bundle.pem` 。捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用友好名称创建。p12文件 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	检查服务器证书详细信息。 `openssl pkcs12 -in hdsnode.p12` 在提示处输入密码以加密私钥，使其在输出中列出。然后，验证私钥和第一个证书是否包含线路 `friendlyName: kms-private-key`。例如： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合数据安全的前提条件。您将使用 hdsnode.p12 在为HDS主机创建配置ISO中为其设置的文件和密码。

在原始证书过期时，您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量：

来自客户端的加密请求，由加密服务路由
升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性，并将以下规则添加到 squid.conf 。随着我们不断开发功能和更新 Webex 云，这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

前言

新信息和更改信息

日期

已作更改

2023年10月20日

更新了服务器要求信息。
添加了灾难恢复的待机数据中心。
在用于灾难恢复的备用数据中心和使用备用数据中心的灾难恢复中更新了信息。

2023年8月7日

在下载安装文件中添加了说明。
在为HDS主机创建配置ISO 和更改节点配置中添加了说明。

2023年5月23日

通过联系客户团队请求启用功能的服务器要求中删除的信息。
更新外部连接要求中的信息并将加拿大添加到CI主机表格。
在部署混合数据安全的期望中添加了关于将密钥移回云端的机制不可用的说明。

2022年12月6日

HDS Setup Tool映像现在托管在ciscocitg dockerhub存储库中。
更新了为HDS主机创建配置ISO 和更改节点配置主题以重新处理命令中的更改。

2022年11月23日

HDS节点现在可以对Microsoft SQL Server使用Windows验证。

更新了服务器要求主题，添加了此验证模式的其他要求。

更新了使用在节点上配置Windows验证的程序 HDS主机的配置ISO。
使用新的最低要求版本(PostgreSQL 10)更新了服务器要求主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。请参阅 ker桌面要求（Docker桌面要求）。

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。有关详细信息，请参阅 OpenSSL生成PKCS12文件。

2021年4月30日

已将本地硬盘空间的VM要求更改为30 GB。有关详细信息，请参阅虚拟主机要求。

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。请参阅（可选）取消HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件。

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO 并使用针对FedRAMP环境的命令更改节点配置。

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO ，并通过更改登录过程来更改节点配置。

2020年8月5日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了主机要求以删除最大主机数量。

2020年6月16日

更新了Control Hub UI中的删除节点更改。

2020年6月4日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020年5月29日

更新了为HDS主机配置ISO ，以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020年5月5日

更新了主机要求，显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求。

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求。

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。

2020年2月4日更新了服务器要求。

2019年12月16日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。

2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息：

代理支持
配置用于代理集成的 HDS 节点
关闭阻止外部 DNS 解析模式

2019 年 11 月 8 日

现在，您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节：

混合数据安全部署任务流程
安装HDS主机OVA
设置混合数据安全虚拟机

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到服务器要求。

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录，附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。

2019 年 8 月 20 日

添加并更新了部分，以涵盖对混合数据安全节点与Webex云通信的代理支持。

代理支持
代理服务器要求
配置用于代理集成的 HDS 节点

要仅访问现有部署的代理支持内容，请参阅混合数据安全的支持和Webex视频网帮助文章。

2019年6月13日将试用更新为生产任务流程，如果您的组织使用目录同步，则在开始试用之前提醒 HdsTrialGroup 组对象。

2019年3月6日

将要求和前提条件移到单独的一章中，准备您的环境。
在设置混合数据安全群集一章中添加了混合数据安全部署任务流程概述。

请注意，在您开始试用之前（使用后续章节中的说明），您的节点会生成警报，指示您的服务尚未激活。
在“运行试用并转入生产” 的章节中添加了试用到生产中的任务流程。

2019 年 2 月 28 日

更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量，从50 GB到20 GB，以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接，以及与支持TLS的系统日志服务器的加密日志连接。更新了说明为HDS主机创建配置ISO 。
从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前，我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日

在为HDS主机创建配置ISO 和更改节点配置中添加了清理任何现有docker HDS实例的初步步骤。
更新了为HDS主机创建配置ISO以匹配接口的密钥访问级别步骤。

2018 年 10 月 19 日

在完成混合数据安全的前提条件中，将防火墙连接信息拆分为节点要求和ISO配置机器要求。

2018 年 7 月 31 日

添加了端口22（SSH访问）和有关NAT和防火墙连接的信息，以完成混合数据安全的前提条件。

2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名：

Cisco Spark混合数据安全现为混合数据安全。
Cisco Spark应用程序现在是Webex应用程序。
Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日

已添加用于灾难恢复的待机数据中心。
更新了完成混合数据安全的前提条件，以指定备份环境应位于不同的数据中心。
已更新待机数据中心的灾难恢复。

2018 年 2 月 22 日

在为HDS主机创建配置ISO 和更改节点配置中，添加了有关服务帐户密码9个月有效期以及使用HDS设置工具重置服务帐户密码的信息。

2018 年 2 月 15 日

在。509证书要求表中指定证书不能是通配符证书，并且KMS使用CN域，而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

添加了附录， DS节点和云之间的流量。
已从混合数据安全的已知问题中删除一个已解决的问题。
已将index.docker。io更改为*。docker。io并将*。cloudfront.net添加到混合数据安全的前提条件 HDS节点的TCP连接要求列表中。
更新了为HDS主机创建配置ISO ，以指示如果数据库主机和Syslogd服务器无法从HDS节点解析DNS，则必须使用IP地址配置它们。

2017年11月2日

澄清HdsTrialGroup的目录同步。
修复了上传ISO配置文件以安装到VM节点的说明。

2017年8月18日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起，数据安全就一直是设计Webex应用程序的主要重点。这种安全性的基石是端到端内容加密，通过Webex应用程序客户端与密钥管理服务(KMS)交互来实现。KMS 负责创建和管理密钥，客户端则使用密钥动态地加密和解密消息和文件。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域，如下所示。

在此图中，客户端是运行在用户笔记本电脑上的Webex应用程序，并已通过身份服务进行身份验证。当用户编写要发送到空间的消息时，会执行以下步骤：

客户端与密钥管理服务(KMS)建立安全连接，然后请求密钥对消息进行加密。安全连接使用ECDH，KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。客户端将其发送到索引服务，该服务创建加密的搜索索引，以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。

部署混合数据安全时，将安全领域功能（KMS、索引和合规性）移至本地数据中心。构成Webex的其他云服务（包括身份和内容存储）仍保留在Cisco的领域。

与其他组织协作

组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。当您的一个用户请求为您的组织拥有的空间提供密钥（因为该空间由您的一个用户创建）时，您的KMS会通过ECDH安全通道向客户端发送密钥。但是，当其他组织拥有空间密钥时，您的KMS会通过单独的ECDH通道将请求路由到WeBEX云，以便从相应的KMS获取密钥，然后将密钥返回给原始通道上的用户。

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺，并了解拥有加密密钥所带来的风险。

要部署混合数据安全，您必须提供：

位于Cisco Webex Teams计划位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。

完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。如果发生这种情况，您可以构建新的部署，但只会显示新内容。为避免失去对数据的访问权限，您必须：

管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复，例如数据库磁盘故障或数据中心灾难。

在HDS部署后，没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理：

设置混合数据安全—这包括准备所需的基础设施和安装混合数据安全软件，在试用模式下使用部分用户测试您的部署，以及在测试完成后进入生产阶段。这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
您的混合数据安全部署—Webex云会自动提供持续升级。您的IT部门可以为此部署提供一级支持，并根据需要聘请Cisco支持人员。您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题，则本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内，您可以将混合数据安全作为单独虚拟主机上的单个节点集群进行部署。节点通过安全Websoc 和安全HTTP与Webex云通信。

在安装过程中，我们为您提供了OVA文件，以便在您提供的VM上设置虚拟设备。您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。（您可以在HDS设置工具中配置Sy 和数据库连接详细信息。）

混合数据安全部署模型

一个簇中最多可以包含两个节点。我们建议至少三个，您最多可以五个。拥有多个节点可确保在一个节点的软件升级或其他维护活动期间服务不会中断。（Webex云一次只升级一个节点。）

群集中的所有节点访问同一密钥数据存储，并将活动记录到同一系统日志服务器。节点本身是无状态的，并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时，节点将变为活动状态。要使单个节点退出服务，您可以取消注册，然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

用于灾难恢复的备用数据中心

在部署期间，您可以设置安全的备用数据中心。在数据中心发生灾难时，您可以手动将部署失败转移到备用数据中心。

在故障转移之前，数据中心A拥有活动的HDS节点和主PostgreSQL或Microsoft SQL Server数据库，而B拥有包含其他配置的ISO文件副本、已注册到组织的VM以及备用数据库。故障转移后，数据中心B拥有活动的HDS节点和主数据库，而A拥有未注册VM和ISO文件副本，并且数据库处于待机模式。 — ***手动故障转移到待机数据中心***

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置用于灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件：

准备工作

备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如，如果生产有3个运行HDS节点的VM，则备份环境应该有3个VM。（请参阅用于灾难恢复的待机数据中心，了解此故障转移模型的概述。）
确保在主动和被动群集节点的数据库之间启用数据库同步。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

ISO文件必须是要对其进行以下配置更新的主数据中心的原始ISO文件的副本。

配置Syslogd服务器后，单击高级设置

在设置上，添加下面的配置以将节点置于被动模式。在此模式下，节点将注册到组织并连接到云，但不会处理任何流量。

 被动模式：“真”

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1 ，然后选择数据存储器ISO文件。

确保已选中“已连接” 和“电源上连接” ，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志以验证节点是否处于被动模式。您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

在ISO文件中配置 passiveMode 并保存后，您可以创建不使用 passiveMode 配置的ISO文件的另一个副本，并将其保存到安全的位置。此未配置 Mode 的ISO文件副本有助于灾难恢复期间的快速故障转移过程。请参阅使用待机数据中心的灾难恢复，了解详细的故障转移程序。

代理支持

混合数据安全节点支持以下代理选项：

无代理—如果不使用HDS节点设置信任存储和代理配置以集成代理，则默认值。无需证书更新。
透明不检查代理—节点未配置为使用特定代理服务器地址，无需任何更改即可使用不检查代理。无需证书更新。
隧道或检查代理—节点未配置为使用特定代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是，节点需要根证书，以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。
代理—使用显式代理，您可以告诉HDS节点要使用哪个代理服务器和身份验证方案。要配置显式代理，您必须在每个节点上输入以下信息：
1. IP/FQDN—可用于连接代理机器的地址。
2. 端口—代理用来侦听代理流量的端口号。
3. 代理协议—根据代理服务器支持的内容，选择以下协议：
  - HTTP - 查看和控制客户端发送的所有请求。
  - HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。
4. 验证类型—从以下验证类型中选择：
  - 无—无需进一步验证。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
  - 基本—用于HTTP用户代理，在发出请求时提供用户名和密码。使用 Base64 编码。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。
  - 摘要—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。
    
    仅当您选择 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

阻止外部 DNS 解析模式（显式代理配置）

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全：

您必须拥有Pro Pack for Cisco Webex Control Hub。（请参阅https://www.cisco.com/go/pro-pack。）

Docker Desktop要求

安装HDS节点之前，您需要Docker Desktop运行安装程序。Docker最近更新了他们的许可模式。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息，请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求：

图表 1。混合数据安全部署的X.509证书要求
要求	的详细信息
由受信任的证书颁发机构(CA)签名	缺省情况下，我们信任Mozilla列表中的CA（WoSign和StartCom除外），网址为 https://wiki.mozilla.org/CA:IncludedCAs。
标识混合数据安全部署的公用名(CN)域名不是通配符证书	CN无需可接通或为实时主持人。我们建议您使用能反映您组织的名称，例如：`hds.company.com`。 CN不能包含*（通配符）。 CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。您的KMS使用CN域标识自己，而不是x.509v3 SAN字段中定义的任何域。使用此证书注册节点后，我们不支持更改CN域名。选择可以同时应用于试用和生产部署的域。
非SHA1签名	KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。
格式化为受密码保护的PKCS #12文件使用 `kms-private-key` 这一友好名称来标记证书、私钥以及要上传的任何中间证书。	您可以使用转换器（例如OpenSSL）来更改证书的格式。运行HDS设置工具时，您需要输入密码。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求：

至少有两个独立的主机（推荐3个）位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5（或更高版本）。

如果您有较早版本的ESXi，则必须升级。
每台服务器至少有4个vCPU，8-GB主内存，30 GB本地硬盘空间

数据库服务器要求

创建密钥存储的新数据库。请勿使用默认数据库。HDS应用程序安装后，创建数据库架构。

数据库服务器有两个选项。每种方法的要求如下：

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

PostgreSQL 14、15或16，已安装并运行。

已安装SQL Server 2016、2017或2019（企业版或标准版）。

SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控，以确保其不超过上限（如果要长时间运行数据库而不需要增加存储空间，建议使用2TB）

HDS软件当前安装以下驱动程序版本，以便与数据库服务器通信：

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On（Always On故障转移群集实例和Always On可用性组）。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库，则需要在您的环境中进行以下配置：

HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须对数据库具有读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。请参阅注册Kerberos连接的服务主体名称。

HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。在请求通过Kerberos验证访问时，他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接：

应用程序	协议	端口	应用程序的方向	目标位置
混合数据安全节点	TCP	443	出站HTTPS和WSS	Webex服务器： .wbx2.com .ciscospark.com 所有通用标识主机在Webex混合服务的其他 URLWebex服务的网络要求表格中列出了用于混合数据安全的其他URL
HDS设置工具	TCP	443	出站HTTPS	*.wbx2.com 所有通用标识主机 hub.docker.com

通用标识(CI)主机的URL是区域特定的。以下是当前的CI主持人：

地区	通用标识主机URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

代理服务器要求

我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

透明代理 - Cisco Web 安全设备 (WSA)。

显式代理 - Squid。

检查HTTPS流量的Squid代理可能会干扰websocket (wss：)连接的建立。要解决此问题，请参阅为混合数据安全配置Squid Proxies。

我们支持显式代理的以下验证类型组合：
- 不进行 HTTP 或 HTTPS 验证
- 进行 HTTP 或 HTTPS 基本验证
- 仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理，您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题，绕过（不检查）到 wbx2.com 和 ciscospark.com 的流量即可解决。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。

为您的HDS部署选择域名（例如，hds.company.com），并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须满足X.509证书要求中的要求。

根据服务器要求，准备用作群集密钥数据存储的数据库服务器。数据库服务器必须与虚拟主机共享在安全数据中心。

创建密钥存储数据库。(必须创建此数据库-不要使用默认数据库。HDS应用程序安装后，创建数据库架构。)
收集节点用于与数据库服务器通信的详细信息：
- 主机名称或IP地址（主机）和端口
- 用于密钥存储的数据库名称(dbname)
- 具有密钥存储数据库所有权限的用户的用户名和密码

设置系统日志主机以从群集中的节点收集日志。收集其网络地址和系统日志端口（默认为UDP 514）。

由于混合数据安全节点存储用于加密和解密内容的密钥，如果无法维护运行部署，将导致该内容无法恢复的丢失 。

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

在运行受支持操作系统（Microsoft Windows 10专业版或企业版64位，或Mac OSX Yosemite 10.10.3或更高版本）的任何本地计算机上安装Docker (https://www.docker.com)，并配备可在 http://127.0.0.1:8080. 访问的Web浏览器。

要安装和运行HDS设置工具，本地机器必须具有外部连接要求中列出的连接。

如果要将代理与混合数据安全集成，请确保其符合代理服务器要求。

如果您的组织使用目录同步，请在名为 HdsTrialGroup的Active Directory中创建一个组，并添加试点用户。试用组最多可以有250个用户。必须先将 HdsTrialGroup 对象同步到云端，然后才能为您的组织启动试用。要同步组对象，在Directory Connector的 > Selection 菜单中选择该对象。（有关详细说明，请参阅《Cisco目录连接器部署指南》。）

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

将OVA文件下载到本地计算机以供后续使用。

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

从OVA文件创建虚拟机并执行初始配置，例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

登录到VM控制台并设置登录凭证。如果在OVA部署时未配置节点的网络设置，请配置该节点的网络设置。

从使用HDS设置工具创建的ISO配置文件配置VM。

如果网络环境需要代理配置，请指定要用于节点的代理类型，并根据需要将代理证书添加到信任存储区。

向Cisco Webex云注册VM作为混合数据安全节点。

完成群集设置。

运行试用并转入生产（下一章）

在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下载安装文件

在此任务中，您可以将OVA文件下载到计算机（而不是您设置为混合数据安全节点的服务器）。该文件可用于后续的安装过程。

在“混合服务”部分，找到混合数据安全卡，然后单击设置。

如果卡已禁用或您看不到它，请联系您的客户团队或合作伙伴组织。向他们提供您的帐户号码，并要求为您的组织启用混合数据安全。要查找帐户号码，请单击右上角组织名称旁边的齿轮图标。

您也可以随时从设置页面上的帮助部分下载OVA。在混合数据安全卡上，单击编辑设置以打开页面。然后，单击帮助部分中的下载混合数据安全软件。

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。升级应用程序时可能会出现问题。确保下载OVA文件的最新版本。

选择否表示您尚未设置节点，然后单击下一步。

OVA文件会自动开始下载。将文件保存到计算机上的某个位置。

或者，单击打开部署指南(Open Deployment Guide) 以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。然后使用ISO配置混合数据安全主机。

准备工作

描述	变量
无身份验证的 HTTP 代理	`_ 席_ _ =http：//SERVER_ ：端口`
无身份验证的 HTTPS 代理	`_ 席_ _ =http：//SERVER_ ：PORT`
有身份验证的 HTTP 代理	`_ 席_ _ =http：// ：PASSWORD@SERVER_ ：PORT`
有身份验证的 HTTPS 代理	`_ 席_ _ =http：// ：PASSWORD@SERVER_ ：PORT`

您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在进行配置更改时，您需要该文件的最新副本，例如：
- 数据库凭证
- 证书更新
- 授权策略更改
如果您计划加密数据库连接，请为TLS设置PostgreSQL或SQL Server部署。

在机器命令行中输入适用于您环境的命令：

在常规环境中：

docker rmi ciscocitg/hds-set：稳定

在 FedRAMP 环境中：

docker rmi ciscocitg/hds-setup-feramp：稳定

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。

要登录 Docker 映像注册表，请输入以下内容：

docker登录- u hdscustomersro

在密码提示下，输入以下哈希：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下载适用于您环境的最新稳定映像：

在常规环境中：

docker pull ciscocitcit/hds-设置：稳定

在 FedRAMP 环境中：

docker牵引ciscocitg/hds-setup-feramp：稳定

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker运行-p 8080：8080 --rm -it ciscocitg/hds-setup：稳定

在有 HTTP 代理的常规环境中：

docker run -p 8080：8080 --rm -it -e全局_座席_HTTP_  =http：//SERVER_  ：PORT CISCOCITG/HDS-SETUP：STABLE

在使用HTTPS代理的常规环境中：

 ker运行-p 8080：8080 --rm -it -e全局_ 席_ _  =HTTP：//SERVER_  ：PORT CISCOCITG/HDS-SETUP：STABLE

在无代理的 FedRAMP 环境中：

docker运行-p 8080：8080 --rm -it ciscocitg/hds-setup-feramp：稳定

在有 HTTP 代理的 FedRAMP 环境中：

 ker run -p 8080：8080 --rm -it -e全局_ 席_ _  =http：//SERVER_  ：PORT CISCOCITG/HDS-SETUP-FERAMP：STABLE

在有 HTTPS 代理的 FedRAMP 环境中：

 ker run-p 8080：8080 --rm -it -e全局_ 席_ _  =http：//SERVER_  ：PORT CISCOCITG/HDS-SETUP-FERAMP：STABLE

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost，http://127.0.0.1:8080并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。该工具随后会显示标准登录提示。

出现提示时，输入您的Control Hub客户管理员登录凭证，然后单击登录以允许访问混合数据安全所需的服务。

在Setup Tool概述页面上，单击 Get Started。

在 ISO导入页面上，您有以下选项：

否—如果您要创建第一个HDS节点，则没有要上传的ISO文件。
是—如果您已经创建了HDS节点，则在浏览中选择ISO文件并上传。

检查您的X.509证书是否符合X.509证书要求中的要求。

如果您之前从未上传过证书，请上传X.509证书，输入密码，然后单击继续。
如果证书确定，请单击继续。
如果您的证书已过期或要替换，请选择否继续使用HDS证书链和先前ISO的私钥？。上传新的X.509证书，输入密码，然后单击继续。

输入HDS的数据库地址和帐户以访问您的密钥数据存储：

选择您的数据库类型（PostgreSQL 或 Microsoft SQL Server）。

如果选择 Microsoft SQL Server，将会看到“身份验证类型”字段。
（仅Microsoft SQL Server ）选择您的验证类型：
- 验证：您需要在名字段中提供本地SQL Server帐户名称。
- 验证：您需要在 Username 字段中有 @DOMAIN 格式的Windows帐户。
以 ： 或 ： 数据库服务器地址。

示例：
dbhost.example.org：1433 或 198.51.100.17：1433

如果节点无法使用DNS解析主机名，可以使用IP地址进行基本验证。

如果您使用的是Windows验证，则必须以格式输入完全限定域名dbhost.example.org：1433
输入数据库名称。
在密钥存储数据库中输入具有所有权限的用户的用户名和密码。

选择 LS数据库连接模式：

模式

描述

首选TLS （默认选项）

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用TLS，节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。
节点还会验证服务器证书中的主机名是否与主机和端口字段中的主机名匹配。名称必须完全匹配，否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

在“系统日志”页面上，配置您的Sy 服务器：

输入系统日志服务器URL。

如果服务器无法从HDS群集的节点解析DNS，请在URL中使用IP地址。

示例：
p：//10.92.43.23 ：514表示在UDP端口514上对Syslogd主机10.92.43.23进行日志记录。
如果您将服务器设置为使用TLS加密，请检查您的系统日志服务器是否配置了SSL加密？。

如果选中此复选框，请确保输入TCP URL，例如tcp：//10.92.43.23：514。
从选择系统日志记录终止下拉列表中，为您的ISO文件选择适当的设置：Select或Newline用于Graylog和Rsyslog TCP
- 字节为空-- \x00
- Newline -- \n-为Graylog和Rsyslog TCP选择此选项。
单击继续。

（可选）您可以在高级设置中更改某些数据库连接参数的默认值。通常，此参数是您唯一可能要更改的参数：

app_datasource_connection_pool_max大小：10

单击重置服务帐户密码屏幕上的继续。

服务帐户密码的有效期为九个月。当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时，请使用此屏幕。

单击 ISO文件。将文件保存在易于查找的位置。

在本地系统上备份ISO文件。

确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

要关闭设置工具，请输入 CTRL+C。

下一步

我们从来没有这个密钥的副本，如果你丢失了它，我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

选择“文件 > 部署 OVF 模板”。

在向导中，指定您之前下载的OVA文件的位置，然后单击下一步。

在“选择名称和文件夹 ”页面上，输入节点的虚拟机名称 （例如“HDS_Node_1”），选择虚拟机节点部署可以驻留的位置，然后单击“下一步”。

在选择计算资源 页面上，选择目标计算资源，然后单击下一步。

运行验证检查。完成后，将显示模板详细信息。

验证模板详细信息，然后单击下一步。

如果系统要求您在配置页面上选择资源配置，请单击 4 CPU ，然后单击下一步。

在选择存储 页面上，单击下一步 以接受默认磁盘格式和VM存储策略。

在选择网络 页面上，从条目列表中选择网络选项，以提供所需的VM连接。

在自定义模板页面上，配置以下网络设置：

主机名 -输入FQDN（主机名和域）或节点的单字主机名。

您无需将域设置为与用于获取X.509证书的域匹配。
要确保成功注册到云，请在为节点设置的FQDN或主机名中仅使用小写字符。目前不支持大写字符。
FQDN 的总长度绝不得超过 64 个字符。

地址 -输入节点内部接口的IP地址。

节点应具有内部IP地址和DNS名称。不支持DHCP。
码—以点数表示输入子网掩码地址。例如，255.255.255.0。
关—输入网关IP地址。网关是一个网络节点，可作为另一个网络的接入点。
NS服务器—输入以逗号分隔的DNS服务器列表，用于将域名转换为数字IP地址。（最多允许4个DNS条目。）
TP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。缺省NTP服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个NTP服务器。

在同一子网或VLAN上部署所有节点，以便出于管理目的，可以从网络中的客户端访问群集中的所有节点。

如果您愿意，可以跳过网络设置配置，然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

右键单击节点虚拟机，然后选择 > 开。

混合数据安全软件作为访客安装在VM主机上。现在，您可以登录控制台并配置节点。

疑难解答提示

在节点容器启动前，您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息，此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。如果在部署OVA时未配置节点，也可以使用控制台配置节点的网络设置。

1	在VMware vSphere客户端中，选择混合数据安全节点VM，然后选择控制台选项卡。 VM启动并显示登录提示。如果没有显示登录提示，请按 Enter 键。
2	使用以下缺省登录和密码登录并更改凭证：登录名：`管理员` 密码：`cisco` 由于您是首次登录VM，您需要更改管理员密码。
3	如果您已经在安装HDS Host OVA中配置了网络设置，请跳过此程序的其余部分。否则，在主菜单中选择编辑配置选项。
4	使用IP地址、掩码、网关和DNS信息设置静态配置。节点应具有内部IP地址和DNS名称。不支持DHCP。
5	（可选）根据需要更改主机名、域或NTP服务器，以匹配您的网络策略。您无需将域设置为与用于获取X.509证书的域匹配。
6	保存网络配置并重启虚拟机，使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

从您的计算机上传ISO文件：

在VMware vSphere客户端的左侧导航窗格中，单击ESXi服务器。
在配置标签页的硬件列表中，单击存储空间。
在数据存储列表中，右键单击VM的数据存储，然后单击浏览数据存储。
单击“上传文件”图标，然后单击“上传文件”。
浏览到您将ISO文件下载到计算机上的位置，然后单击打开。
单击是(Yes) 接受上传/下载操作警告，并关闭数据存储对话框。

安装ISO文件：

在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击确定以接受限制编辑选项警告。
单击 CD/DVD Drive 1，选择从数据存储ISO文件安装的选项，然后浏览到您上传配置ISO文件的位置。
检查已连接和接通电源时连接。
保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求，您可以选择在所有节点获取配置更改后卸载ISO文件。请参阅（可选）取消HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

准备工作

请参阅支持受支持代理选项的概述。
代理服务器要求

1	在 Web 浏览器中输入 HDS 节点设置 URL `https://[HDS 节点 IP 或 FQDN]/setup`，输入您为节点设置的管理员凭证，然后单击登录。
2	转至信任库和代理，然后选择一个选项：无代理 -集成代理之前的默认选项。无需证书更新。透明不检查代理—节点未配置为使用特定代理服务器地址，无需任何更改即可使用不检查代理。无需证书更新。检查代理—节点未配置为使用特定代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改，但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。显式代理—使用显式代理，您可以告诉客户端（HDS节点）要使用哪个代理服务器，并且此选项支持多种身份验证类型。选择此选项后，您必须输入以下信息： IP/FQDN—可用于连接代理机器的地址。端口—代理用来侦听代理流量的端口号。协议—选择（查看和控制从客户端收到的所有请求）或（提供到服务器的通道，客户端接收并验证服务器的证书）。根据代理服务器支持的内容选择一个选项。验证类型—从以下验证类型中选择：无—无需进一步验证。适用于 HTTP 或 HTTPS 代理。基本—用于HTTP用户代理，在发出请求时提供用户名和密码。使用 Base64 编码。适用于 HTTP 或 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。摘要—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。仅适用于 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。
3	单击上传根证书或最终实体证书，然后导航以选择代理的根证书。证书已上传但尚未安装，因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息，如果您操作错误并希望重新上传文件，请单击删除。
4	单击检查代理连接以测试节点和代理服务器之间的网络连接。如果连接测试失败，您将看到一条错误消息，其中显示了错误原因以及解决方法。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置，节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是错误，请完成这些步骤，然后查看关闭阻止的外部DNS解析模式。
5	在连接测试通过后，对于设置为仅限 https 的显式代理，打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。
6	单击将所有证书安装到信任库（对 HTTPS 显式代理或透明检查代理显示）或重启（对 HTTP 显式代理显示），阅读提示，然后在准备就绪后单击安装。节点在几分钟内重启。
7	节点重启后，重新登录（如需要），然后打开概述页面以执行连接检查，确保它们均为绿色状态。代理连接检查仅测试 webex.com 的子域。如果存在连接问题，常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点，向Webex云注册节点，然后将其转换为混合数据安全节点。

注册首个节点时，需要创建要将该节点分配到的集群。簇包含一个或多个用于提供冗余的节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	登录到 https://admin.webex.com。
2	从屏幕左侧的菜单中选择“服务”。
3	在“混合服务”部分，找到混合数据安全，然后单击设置。出现注册混合数据安全节点页。
4	选择是表示您已设置节点并准备好注册，然后单击下一步。
5	在第一个字段中，输入要分配混合数据安全节点的集群的名称。建议您基于群集节点的地理位置来命名该群集。示例：“旧金山”或“纽约”或“达拉斯”
6	在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。出现一条消息，表示您可以将节点注册到Webex。
7	单击“转至节点”。
8	单击警告消息中的“继续”。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认要向Webex组织授予访问您节点的权限。
9	选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。
10	单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。在数据安全上，会显示包含您注册的节点的新群集。节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点，只需创建其他VM并安装相同的配置ISO文件，然后注册该节点。我们建议您至少拥有3个节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	从OVA创建新虚拟机，重复安装HDS主机OVA中的步骤。
2	在新VM上设置初始配置，重复设置混合数据安全VM中的步骤。
3	在新的VM上，重复“上传并挂载HDS配置ISO”中的步骤。
4	如果要为部署设置代理，请根据需要为新节点重复为代理集成配置HDS节点中的步骤。
5	注册节点。在 https://admin.webex.com 中，从屏幕左侧的菜单中选择 “服务” 。在“混合服务”部分，找到混合数据安全卡，然后单击“资源”(Resources)。出现“混合数据安全资源”页。单击添加资源。在第一个字段中，选择现有集群的名称。在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。出现一条消息，表示您可以将节点注册到Webex云。单击“转至节点”。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认要向组织授予访问节点的权限。选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。节点已注册。请注意，在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下一步

运行试用并转入生产（下一章）

运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后，您可以启动试点，向其添加用户，并开始使用它来测试和验证您的部署，为进入生产阶段做好准备。

准备工作

设置混合数据安全群集

1	如果适用，同步 `dsTrialGroup` 组对象。如果您的组织对用户使用目录同步，则必须选择 `dsTrialGroup` 组对象同步到云，然后才能开始试用。有关说明，请参阅《Cisco目录连接器指南》。
2	激活试用开始试用。在执行此任务之前，节点将生成警报，指示服务尚未激活。
3	测试混合数据安全部署检查关键请求是否传递给您的混合数据安全部署。
4	监控混合数据安全运行状况检查状态并设置警报的电子邮件通知。
5	从试用中添加或删除用户
6	通过以下操作之一完成试验阶段：从试用过渡到生产在不进入生产阶段的情况下结束试用

激活试用

准备工作

如果您的组织对用户使用目录同步，则必须选择 HdsTrialGroup 组对象同步到云，然后才能为您的组织启动试用。有关说明，请参阅《Cisco目录连接器指南》。

1	登录 https://admin.webex.com，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”区域中，单击开始试用。服务状态将更改为试用模式。
4	单击添加用户，输入要试用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。（如果您的组织使用目录同步，请使用Active Directory管理试用组 `HdsTrialGroup`。）

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志，以验证关键请求是否传递给混合数据安全部署。

给定空间的键由空间创建者设置。作为试点用户之一登录Webex应用程序，然后创建空间并邀请至少一个试点用户和一个非试点用户。

如果停用混合数据安全部署，则一旦替换了客户端缓存的加密密钥副本，将无法再访问试点用户创建的空间中的内容。

将消息发送到新空间。

检查系统日志输出，以验证关键请求是否传递给混合数据安全部署。

要首先建立到KMS的安全通道来检查用户，请对 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_collection进行筛选：

您应该找到如下条目（为便于阅读而缩写的标识符）：

2020-07-21 17：35：34.562 (+0000)信息KMS [pool-14-thread-1] -已收到[KMS：REQUEST]，设备标识：https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid：kms：//hds2.org5.lisn.us/static /3[~]0 (EncryptionKmsMessageHandler.java：312) WEBEX_  ACKINGID=HdsIntest_dT[~]0， kms.data.method=create， kms.merc.id=8[~]a， kms.merc.sync=false， kms.data.uriHost=hds2.org5.lisn.us.us， kms.data.type=临时_密钥_收集， kms.data.requestId=9[~]6， kms.data.uri=kms：//hds2.org5.lisn.us/ecdhe， kms.data.userId=0[~]2

要检查从KMS请求现有密钥的用户，请在 kms.data.method=retrieve 和 kms.data.type=KEY上进行筛选：

您应找到一个条目，如下所示：

2020-07-21 17：44：19.889 (+0000)信息KMS [pool-14-thread-31] -已收到[KMS：REQUEST]，设备标识：https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid：kms：//hds2.org5.lisn.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java：312) WEBEX_  ACKINGID=HdsIntest_fT[~]0， kms.data.method=检索，kms.merc.id=c[~]7， kms.merc.sync=false， kms.data.uriHost=ciscospark.com，  ms.data.type=KEY，kms.data.requestId=9[~]3， kms.data.uri=kms：//ciscospark.com/ /d[~]2， kms.data.userId=1[~]b

要检查请求创建新KMS密钥的用户，请在 kms.data.method=create 和 kms.data.type=KEY_ 上进行筛选：

您应找到一个条目，如下所示：

2020-07-21 17：44：21.975 (+0000)信息KMS [pool-14-thread-33] -已收到[KMS：REQUEST]，设备标识：https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid：kms：//hds2.org5.lisn.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java：312) WEBEX_  ACKINGID=HdsIntest_T4[~]0，  ms.data.method=create， kms.merc.id=6[~]e， kms.merc.sync=false， kms.data.uriHost=null，  ms.data.type=KEY_ ， kms.data.requestId=6[~]4， kms.data.uri=/key， kms.data.userId=1[~]b

要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户，请在 kms.data.method=create 和 kms.data.type=资源_COLLECTION上进行筛选：

您应找到一个条目，如下所示：

2020-07-21 17：44：22.808 (+0000)信息KMS [pool-15-thread-1] -已收到[KMS：REQUEST]，设备标识：https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid：kms：//hds2.org5.lisn.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java：312) WEBEX_  ACKINGID=HdsIntest_dT[~]0， kms.data.method=create， kms.merc.sync=true， kms.data.uriHost=null， kms.data.type=资源_集合， kms.data.requestId=d[~]e， kms.data.uri=/resources， kms.data.userId=1[~]b

监控混合数据安全运行状况

1	在 Control Hub中，从屏幕左侧的菜单中选择服务。
2	在“混合服务”部分，找到混合数据安全，然后单击设置。出现“混合数据安全设置”页。
3	在电子邮件通知部分，输入一个或多个以逗号分隔的电子邮件地址，然后按 Enter。

从试用中添加或删除用户

激活试用并添加初始试用用户集后，您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户，用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。如果客户端需要存储在KMS上的密钥，云KMS将代表用户获取密钥。

如果您的组织使用目录同步，请使用Active Directory（而非此程序）管理试用组 HdsTrialGroup；您可以在Control Hub中查看组成员，但无法添加或删除他们。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”区域的“试用模式”部分中，单击添加用户，或单击查看和编辑将用户从试用中删除。
4	输入要添加的一个或多个用户的电子邮件地址，或者通过用户ID单击 X 将该用户从试用中删除。然后单击保存。

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时，您可以进入生产阶段。进入生产阶段后，组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。除非在灾难恢复过程中停用该服务，否则您无法从生产中恢复到试用模式。重新激活该服务需要您设置新的试用。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在Service Status部分，单击 Move to Production。
4	确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“停用”区域中，单击停用。
4	确认您要停用服务并结束试用。

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

要设置升级安排：

1	登录到 Control Hub。
2	在“概述”页面上的混合服务下，选择混合数据安全。
3	在“混合数据安全资源”页上，选择群集。
4	在右侧“概述”面板中的“集群设置”下，选择集群名称。
5	在“设置”页面中的“升级”下方，为升级安排选择时间与时区。注：下一可用升级的日期与时间显示在时区下。如果需要，您可以单击推迟，将升级推迟到下一天。

更改节点配置

出于以下原因，有时可能需要更改混合数据安全节点的配置：

由于过期或其他原因而需要更改 x.509 证书。

我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

更新数据库设置，以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

创建新配置，以准备新的数据中心。

此外，出于安全考虑，混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后，您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时，您会收到 Webex 团队发送的通知，以重设机器帐户的密码。（该电子邮件内容为“请使用机器帐户 API 来更新密码。”）如果密码尚未到期，该工具会为您提供两个选项：

软重置—旧密码和新密码的有效期均长达10天。在此期限内逐步替换节点上的 ISO 文件。
硬重置—旧密码立即停止工作。

如果密码过期而未重设，其将影响 HDS 服务，需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

描述	变量
无身份验证的 HTTP 代理	`_ 席_ _ =http：//SERVER_ ：端口`
无身份验证的 HTTPS 代理	`_ 席_ _ =http：//SERVER_ ：PORT`
有身份验证的 HTTP 代理	`_ 席_ _ =http：// ：PASSWORD@SERVER_ ：PORT`
有身份验证的 HTTPS 代理	`_ 席_ _ =http：// ：PASSWORD@SERVER_ ：PORT`

您需要当前配置 ISO 文件的副本，才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO，包括数据库凭证、证书更新或授权策略的变更。

使用本地计算机上的 Docker 运行 HDS 设置工具。

在机器命令行中输入适用于您环境的命令：
在常规环境中：
```
docker rmi ciscocitg/hds-set：稳定
```
在 FedRAMP 环境中：
```
docker rmi ciscocitg/hds-setup-feramp：稳定
```
此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。
要登录 Docker 映像注册表，请输入以下内容：
```
docker登录- u hdscustomersro
```
在密码提示下，输入以下哈希：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下载适用于您环境的最新稳定映像：
在常规环境中：
```
docker pull ciscocitcit/hds-设置：稳定
```
在 FedRAMP 环境中：
```
docker牵引ciscocitg/hds-setup-feramp：稳定
```
请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker运行-p 8080：8080 --rm -it ciscocitg/hds-setup：稳定

在有 HTTP 代理的常规环境中：

docker run -p 8080：8080 --rm -it -e全局_座席_HTTP_  =http：//SERVER_  ：PORT CISCOCITG/HDS-SETUP：STABLE

在有 HTTPS 代理的常规环境中：

 ker运行-p 8080：8080 --rm -it -e全局_ 席_ _  =http：//SERVER_  ：PORT CISCOCITG/HDS-SETUP：STABLE

在无代理的 FedRAMP 环境中：

docker运行-p 8080：8080 --rm -it ciscocitg/hds-setup-feramp：稳定

在有 HTTP 代理的 FedRAMP 环境中：

  KER RUN-P 8080：8080 --RM -IT -E全局_ _ _  =http：//SERVER_  ：PORT CISCOCITG/HDS-SETUP-FERAMP：STABLE

在有 HTTPS 代理的 FedRAMP 环境中：

 ker run-p 8080：8080 --rm -it -e全局_ 席_ _  =http：//SERVER_  ：PORT CISCOCITG/HDS-SETUP-FERAMP：STABLE

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

使用浏览器连接到本地主机，http://127.0.0.1:8080。

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用http://127.0.0.1:8080 连接到localhost。
出现提示时，输入您的Control Hub客户登录凭证，然后单击 Accept 继续。
导入当前配置 ISO 文件。
根据提示完成工具并下载更新后的文件。

要关闭设置工具，请输入 CTRL+C。
在另一个数据中心为更新的文件创建备份副本。

只运行一个HDS节点，请创建新的混合数据安全节点VM，并使用新的配置ISO文件注册。有关更多详细说明，请参阅创建和注册更多节点。

安装 HDS 主机 OVA。
设置 HDS VM。
安装更新的配置文件。
在 Control Hub 中注册新节点。

对于运行旧配置文件的现有 HDS 节点，请设置 ISO 文件。请依次在每个节点上执行以下步骤，在关闭下一节点之前更新每个节点：

关闭虚拟机。
在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击 CD/DVD 驱动器 1，选择用于从 ISO 文件进行安装的选项，然后浏览到您下载新的配置 ISO 文件的位置。
选中开机时连接。
保存您的更改并打开虚拟机。

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称，则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称，并且您的节点可以与其通信。

1	在Web浏览器中，打开混合数据安全节点界面(例如，IP地址/设置，https://192.0.2.0/setup), 您为节点设置的管理员凭证，然后单击 In。
2	转至概述（缺省页面）。启用后，阻止外部 DNS 解析会设置为是。
3	转至信任库和代理页面。
4	单击检查代理连接。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器并将保持此模式。否则，在您重启节点并返回概述页面后，阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从群集中删除节点后，删除虚拟机以防止进一步访问您的安全数据。

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

删除节点：

登录Control Hub，然后选择服务。
在混合数据安全卡上，单击查看全部以显示“混合数据安全资源”页。
选择簇以显示其概述面板。
单击打开节点列表。
在“节点”选项卡上，选择要删除的节点。
单击 > 注册节点。

在vSphere客户端中，删除VM。（在左侧导航窗格中，右键单击VM，然后单击删除。）

如果不删除VM，请记得卸载配置ISO文件。如果没有ISO文件，您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

如果灾难导致主数据中心中的HDS部署不可用，请按照此程序手动将故障转移到备用数据中心。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

配置Syslogd服务器后，单击高级设置

在高级设置页面上，添加下面的配置或删除 passiveMode 配置以使节点处于活动状态。配置后，节点可以处理流量。

 被动模式：“假”

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1 ，然后选择数据存储器ISO文件。

确保已选中“已连接” 和“电源上连接” ，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志输出，以验证备用数据中心的节点未处于被动模式。“被动模式下配置的KMS”不应出现在系统日志中。

下一步

故障转移后，如果主数据中心再次变为活动状态，请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

（可选）在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。但是，有些客户不希望ISO文件连续安装。您可以在所有HDS节点接受新配置后卸载ISO文件。

仍使用ISO文件进行配置更改。当您通过设置工具创建新的ISO或更新ISO时，必须在所有HDS节点上安装更新的ISO。在所有节点获取配置更改后，您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1	关闭其中一个HDS节点。
2	在vCenter Server 中，选择HDS节点。
3	选择编辑设置 > CD/DVD驱动器并取消选中数据存储器ISO文件。
4	打开HDS节点电源，并确保至少20分钟内没有警报。
5	对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

无法创建新空间（无法创建新密钥）
消息和空间标题无法解密：
- 添加到空间的新用户（无法获取密钥）
- 空间中使用新客户端的现有用户（无法获取密钥）
只要其客户端拥有加密密钥缓存，空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报，以避免服务中断。

警告

如果混合数据安全设置出现问题，Control Hub会向组织管理员显示警告，并向配置的电子邮件地址发送电子邮件。警报涵盖了许多常见的场景。

表 1。常见问题及其解决步骤
预警	操作
本地数据库访问失败。	检查数据库错误或本地网络问题。
本地数据库连接失败。	检查数据库服务器是否可用，并且节点配置中使用了正确的服务帐户凭证。
云服务访问失败。	检查节点是否可以按连接要求 Webex服务器。
续订云服务注册。	云服务的注册已取消。正在续订注册。
云服务注册已断开。	云服务的注册已终止。服务正在关闭。
服务尚未激活。	激活试用或完成将试用转入生产阶段。
配置的域与服务器证书不匹配。	确保服务器证书与配置的服务激活域匹配。最可能的原因是证书CN最近发生了更改，现在与初始设置期间使用的CN不同。
向云服务验证失败。	检查服务帐户凭证的准确性和可能的过期时间。
打开本地密钥库文件失败。	检查本地密钥库文件的完整性和密码准确性。
本地服务器证书无效。	检查服务器证书的到期日期，并确认它是由受信任的证书颁发机构颁发的。
无法发布指标。	检查外部云服务的本地网络访问。
/media/configdrive/hds目录不存在。	检查虚拟主机上的ISO安装配置。验证ISO文件是否存在，是否已配置为在重启时安装，以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时，请遵循以下一般准则。

1	查看Control Hub中的任何警告并修复您在此处找到的任何项目。
2	查看来自混合数据安全部署的系统日志服务器输出的活动。
3	请联系思科支持人员。

其他备注

混合数据安全的已知问题

如果您关闭混合数据安全群集（通过在Control Hub中删除该群集或关闭所有节点）、丢失配置ISO文件或失去对密钥库数据库的访问权限，Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。这适用于试用版和量产版部署。我们目前没有解决此问题的变通方法或修复方法，我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间（可能为一小时）。当用户成为混合数据安全试用的成员时，用户的客户端将继续使用现有的ECDH连接，直到超时。或者，用户可以注销并重新登录到Webex应用程序，以更新应用程序用于加密密钥的联系人位置。

当您为组织将试用转入生产模式时，也会发生相同的行为。所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务，直到ECDH连接重新协商（通过超时或注销和重新登录）。

使用OpenSSL生成PKCS12文件

准备工作

OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。还有其他方法可以做到这一点，我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL，我们提供此程序作为指导，帮助您创建符合X.509证书要求中的X.509证书要求的文件。请先了解这些要求，然后再继续。
在支持的环境中安装OpenSSL。请参阅https://www.openssl.org 软件和文档。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。

1	从CA收到服务器证书后，将其另存为 `hdsnode.pem`。
2	将证书显示为文本并验证详细信息。 `openssl x509 -text -noout-in hds 。pem`
3	使用文本编辑器创建名为 `hdsnode-bundle.pem` 的证书捆绑包文件。捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书： `-----开始证书-----###服务器证书### -----结束证书--------开始证书----- ###中间CA证书。 ### -----结束证书--------开始证书----- ###根CA证书。 ### -----结束证书----`
4	使用友好名称创建。p12文件`kms-私有密钥`。 `openssl pkcs12 -export -inkey hds 。key -in hdsnode- 。pem -name kms-私钥-caname kms-私钥-outhds 。p12`
5	检查服务器证书详细信息。 `openssl pkcs12 -在hds 。p12中` 在提示处输入密码以加密私钥，使其在输出中列出。然后，验证私钥和第一个证书是否包含线路 `名称：kms-私有密钥`。示例： bash$ openssl pkcs12 -在hds 。p12输入导入密码：MAC已验证OK Bag属性名称：kms-private-key local KeyID：54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性：输入PEM密码短语：正在验证-输入PEM通行证短语：-----开始加密私钥---- -----结束加密私钥----- Bag属性名称：kms-private-key local KeyID：54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.lisn.us =/C=US/O=Lets Encrypt/CN=Lets Encrypt Authority X3 -----START CERTIFICATE ---- -----END CERTIFICATE ----- Bag属性友好Name：CN=Let’S EncryPT Authority X3，O=Let’s Encrypt，C=US subject=/C=US/O=Let’s Encrypt/CN=LET’S Encrypt Authority X3 =/O=Digital Signature Trust Co./CN=DST根CA X3 -----START CERTIFICATE ---- -----END CERTIFICATE -----

下一步

返回到完成混合数据安全的前提条件。您将在“为HDS主机创建配置ISO ”（Create a Configuration ISO for the HDS主机）中使用hds 。p12文件以及为其设置的密码。

在原始证书过期时，您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量：

来自客户端的加密请求，由加密服务路由
升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全所需的websocket ( ss：)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量，以便服务正常运行。

Squid 4 和 5

将on_unsupported_protocol 添加到 id.conf：

on_unsupported_protocol 全部隧道

Squid 3.5.27

我们将以下规则添加到 squid.conf，成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云，这些规则可能会更改。

acl wssMercuryConnection ssl：server_name_regex 汞ssl_bump 连接拼接wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 at_step 3ssl_bump lBump3ssl_bump step2ssl_bump p3 all

前言

新信息和更改信息

日期

已作更改

2023年10月20日

更新了服务器要求信息。
添加了灾难恢复的待机数据中心。
在用于灾难恢复的备用数据中心和使用备用数据中心的灾难恢复中更新了信息。

2023年8月7日

在下载安装文件中添加了说明。
在为HDS主机创建配置ISO和更改节点配置中添加了说明。

2023年5月23日

通过联系客户团队请求启用功能的服务器要求中删除的信息。
更新外部连接要求中的信息并将加拿大添加到CI主机表格。
在部署混合数据安全的期望中添加了关于将密钥移回云端的机制不可用的说明。

2022年12月6日

HDS设置工具映像现在托管在 ciscocitg dockerhub存储库。
更新了为HDS主机创建配置ISO 和更改节点配置主题以重新处理命令中的更改。

2022年11月23日

HDS节点现在可以对Microsoft SQL Server使用Windows验证。

更新了服务器要求主题，添加了此验证模式的其他要求。

更新了使用在节点上配置Windows验证的程序 HDS主机的配置ISO。
使用新的最低要求版本(PostgreSQL 10)更新了服务器要求主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。请参阅 ker桌面要求（Docker桌面要求）。

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。有关详细信息，请参阅 OpenSSL生成PKCS12文件。

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。有关详细信息，请参阅虚拟主机要求。

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件。

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO，并通过更改登录过程来更改节点配置。

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了主机要求以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机配置ISO ，以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了主机要求，显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求。

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求。

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。

2020年2月4日更新了服务器要求。

2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。

2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息：

代理支持
配置用于代理集成的 HDS 节点
关闭阻止外部 DNS 解析模式

2019 年 11 月 8 日

现在，您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节：

混合数据安全部署任务流程
安装HDS主机OVA
设置混合数据安全虚拟机

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到服务器要求。

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录，附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。

2019 年 8 月 20 日

添加并更新了部分，以涵盖对混合数据安全节点与Webex云通信的代理支持。

代理支持
代理服务器要求
配置用于代理集成的 HDS 节点

要仅访问现有部署的代理支持内容，请参阅混合数据安全的支持和Webex视频网帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”，并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步，则在开始试用之前对对象进行分组。

2019年3月6日

将要求和前提条件移到单独的一章中，准备您的环境。
在设置混合数据安全群集一章中添加了混合数据安全部署任务流程概述。

请注意，在您开始试用之前（使用后续章节中的说明），您的节点会生成警报，指示您的服务尚未激活。
在“运行试用并转入生产”一章中添加了试用到生产中的任务流程。

2019 年 2 月 28 日

更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量，从50 GB到20 GB，以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接，以及与支持TLS的系统日志服务器的加密日志连接。更新了说明为HDS主机创建配置ISO 。
从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前，我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日

在为HDS主机创建配置ISO和更改节点配置中添加了清理任何现有docker HDS实例的初步步骤。
更新了为HDS主机创建配置ISO以匹配接口的密钥访问级别步骤。

2018 年 10 月 19 日

在完成混合数据安全的前提条件中，将防火墙连接信息拆分为节点要求和ISO配置机器要求。

2018 年 7 月 31 日

添加了端口22（SSH访问）和有关NAT和防火墙连接的信息，以完成混合数据安全的前提条件。

2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名：

Cisco Spark混合数据安全现为混合数据安全。
Cisco Spark应用程序现在是Webex应用程序。
Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日

已添加用于灾难恢复的待机数据中心。
更新了完成混合数据安全的前提条件，以指定备份环境应位于不同的数据中心。
已更新待机数据中心的灾难恢复。

2018 年 2 月 22 日

在为HDS主机创建配置ISO 和更改节点配置中，添加了有关服务帐户密码9个月有效期以及使用HDS设置工具重置服务帐户密码的信息。

2018 年 2 月 15 日

在 <UNK> 。509证书要求表中指定证书不能是通配符证书，并且KMS使用CN域，而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

添加了附录， <UNK> DS节点和云之间的流量。
已从混合数据安全的已知问题中删除一个已解决的问题。
已将index.docker。io更改为*。docker。io并将*。cloudfront.net添加到混合数据安全的前提条件 HDS节点的TCP连接要求列表中。
更新了为HDS主机创建配置ISO ，以指示如果数据库主机和Syslogd服务器无法从HDS节点解析DNS，则必须使用IP地址配置它们。

2017年11月2日

澄清HdsTrialGroup的目录同步。
修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起，数据安全就一直是设计Webex应用程序的主要重点。这种安全性的基石是端到端内容加密，通过Webex应用程序客户端与密钥管理服务(KMS)交互来实现。 KMS 负责创建和管理密钥，客户端则使用密钥动态地加密和解密消息和文件。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域，如下所示。

在此图中，客户端是运行在用户笔记本电脑上的Webex应用程序，并已通过身份服务进行身份验证。当用户编写要发送到空间的消息时，将执行以下步骤：

客户端与密钥管理服务(KMS)建立安全连接，然后请求密钥对消息进行加密。安全连接使用ECDH，KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。客户端将其发送到索引服务，该服务创建加密的搜索索引，以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。

部署混合数据安全时，将安全领域功能（KMS、索引和合规性）移至本地数据中心。构成Webex的其他云服务（包括身份和内容存储）仍保留在Cisco的领域。

与其他组织协作

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺，并了解拥有加密密钥所带来的风险。

要部署混合数据安全，您必须提供：

位于Cisco Webex Teams计划支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。

管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复，例如数据库磁盘故障或数据中心灾难。

在HDS部署后，没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理：

设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件，在试用模式下使用部分用户对部署进行测试，以及在测试完成后进入生产阶段。这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。您的IT部门可以为此部署提供一级支持，并根据需要聘请Cisco支持人员。您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题，本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内，您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。节点通过安全Websoc 和安全HTTP与Webex云通信。

混合数据安全部署模型

群集中的所有节点访问同一密钥数据存储，并将活动记录到同一系统日志服务器。节点本身是无状态的，并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时，节点将变为活动状态。要使单个节点退出服务，您可以取消注册，然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

用于灾难恢复的备用数据中心

在部署期间，您可以设置安全的备用数据中心。在数据中心发生灾难时，您可以手动将部署失败到备用数据中心。

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件：

准备工作

备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如，如果生产中有3个运行HDS节点的VM，则备份环境应该有3个VM。（请参阅用于灾难恢复的待机数据中心，了解此故障转移模型的概述。）
确保在主动和被动群集节点的数据库之间启用数据库同步。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

配置Syslogd服务器后，单击设置

在设置上，添加下面的配置以将节点置于被动模式。在此模式下，节点将注册到组织并连接到云，但不会处理任何流量。


passiveMode: 'true'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志以验证节点是否处于被动模式。您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

代理支持

混合数据安全节点支持以下代理选项：

无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理，这是缺省选项。无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是，节点需要根证书，以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。
显式代理 - 使用显式代理时，您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。要配置显式代理，您必须在每个节点上输入以下信息：
1. 代理 IP/FQDN - 可用于访问代理机器的地址。
2. 代理端口 - 代理用来侦听代理流量的端口号。
3. 代理协议 - 根据代理服务器支持的内容，选择以下协议之一：
  - HTTP - 查看和控制客户端发送的所有请求。
  - HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。
4. 验证类型 - 从以下验证类型中进行选择：
  - 无 - 无需进一步验证。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
  - 基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。
  - 摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。
    
    仅当您选择 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

阻止外部 DNS 解析模式（显式代理配置）

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全：

您必须拥有Pro Pack for Cisco Webex Control Hub。（请参阅 https://www.cisco.com/go/pro-pack。）

Docker Desktop要求

安装HDS节点之前，您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。您的组织可能需要付费订阅Docker Desktop。有关详细信息，请参阅Docker博客帖子“ ker正在更新和延长我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求：

表 1. 混合数据安全部署的X.509证书要求
要求	详细信息
由受信任的证书颁发机构(CA)签名	默认情况下，我们信任Mozilla列表中的CA（WoSign和StartCom除外），网址为 https://wiki.mozilla.org/CA:IncludedCAs。
标识混合数据安全部署的公用名(CN)域名不是通配符证书	CN无需可接通或为实时主持人。我们建议您使用反映您的组织的名称，例如， `hds.company.com` 。 CN不能包含*（通配符）。 CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。您的KMS使用CN域标识自己，而不是x.509v3 SAN字段中定义的任何域。使用此证书注册节点后，我们不支持更改CN域名。选择可以同时应用于试用版和生产版部署的域。
非SHA1签名	KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。
格式化为受密码保护的PKCS #12文件使用昵称： `kms-private-key` 来标记证书、私钥以及要上传的任何中间证书。	您可以使用转换器（例如OpenSSL）来更改证书的格式。运行HDS设置工具时，您需要输入密码。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求：

至少有两个独立的主机（推荐3个）位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5（或更高版本）。

如果您有较早版本的ESXi，则必须升级。
每台服务器至少有4个vCPU，8-GB主内存，30 GB本地硬盘空间

数据库服务器要求

创建密钥存储的新数据库。请勿使用默认数据库。 HDS应用程序安装后，创建数据库架构。

数据库服务器有两个选项。每一项的要求如下：

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

PostgreSQL 14、15或16，已安装并运行。

已安装SQL Server 2016、2017或2019（企业版或标准版）。

SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控，以确保其不超过上限（如果要长时间运行数据库而不需要增加存储空间，建议使用2TB）

HDS软件当前安装以下驱动程序版本，以便与数据库服务器通信：

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On（Always On故障转移群集实例和Always On可用性组）。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库，则需要在您的环境中进行以下配置：

HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。请参阅注册Kerberos连接的服务主体名称。

HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。在请求通过Kerberos验证访问时，他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接：

应用程序	协议	端口	应用程序的方向	目标位置
混合数据安全节点	TCP	443	出站HTTPS和WSS	Webex服务器： .wbx2.com .ciscospark.com 所有通用标识主机在 bex服务的网络要求的 bex混合服务的其他URL 中列出了用于混合数据安全的其他URL
HDS设置工具	TCP	443	出站HTTPS	*.wbx2.com 所有通用标识主机 hub.docker.com

通用标识(CI)主机的URL是区域特定的。以下是当前的CI主持人：

地区	通用标识主机URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

代理服务器要求

我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

透明代理 - Cisco Web 安全设备 (WSA)。

显式代理 - Squid。

用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。要解决此问题，请参阅为混合数据安全配置Squid Proxies。

我们支持显式代理的以下验证类型组合：
- 不进行 HTTP 或 HTTPS 验证
- 进行 HTTP 或 HTTPS 基本验证
- 仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理，您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题，绕过（不检查）流量至 wbx2.com 和 ciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。

为HDS部署选择域名(例如， hds.company.com)，并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须满足 X.509证书要求中的要求。

根据服务器要求，准备用作群集密钥数据存储的数据库服务器。数据库服务器必须与虚拟主机共享在安全数据中心。

创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后，创建数据库架构。)
收集节点用于与数据库服务器通信的详细信息：
- 主机名称或IP地址（主机）和端口
- 用于密钥存储的数据库名称(dbname)
- 具有密钥存储数据库所有权限的用户的用户名和密码

设置系统日志主机以从群集中的节点收集日志。收集其网络地址和系统日志端口（默认为UDP 514）。

由于混合数据安全节点存储用于加密和解密内容的密钥，如果无法维护运行部署，将导致该内容无法恢复的丢失。

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

要安装和运行HDS设置工具，本地机器必须具有外部连接要求中列出的连接。

如果要将代理与混合数据安全集成，请确保其符合代理服务器要求。

如果您的组织使用目录同步，请在Active Directory中创建一个名为“ HdsTrialGroup ，并添加引导用户。试用组最多可以有250个用户。这个 HdsTrialGroup 必须先将对象同步到云端，然后才能为组织开始试用。要同步组对象，请在Directory Connector的中选择该对象。 > 选择(Object Selection) 菜单。（有关详细说明，请参阅《 isco Directory Connector部署指南》。）

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

将OVA文件下载到本地计算机以供后续使用。

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

从OVA文件创建虚拟机并执行初始配置，例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

登录到VM控制台并设置登录凭证。如果在OVA部署时未配置节点的网络设置，请配置该节点的网络设置。

从使用HDS设置工具创建的ISO配置文件配置VM。

如果网络环境需要代理配置，请指定要用于节点的代理类型，并根据需要将代理证书添加到信任存储区。

向Cisco Webex云注册VM作为混合数据安全节点。

完成群集设置。

运行试用并进入生产阶段（下一章）

在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下载安装文件

在此任务中，您可以将OVA文件下载到计算机（而不是您设置为混合数据安全节点的服务器）。该文件可用于后续的安装过程。

在“混合服务”部分，找到混合数据安全卡，然后单击设置。

您也可以随时从设置页面上的帮助部分下载OVA。在混合数据安全卡上，单击编辑设置以打开页面。然后，单击帮助部分中的下载混合数据安全软件。

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。升级应用程序时可能会出现问题。确保下载OVA文件的最新版本。

选择否表示您尚未设置节点，然后单击下一步。

OVA文件会自动开始下载。将文件保存到计算机上的某个位置。

或者，单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。然后使用ISO配置混合数据安全主机。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在进行配置更改时，您需要该文件的最新副本，例如：
- 数据库凭证
- 证书更新
- 授权策略更改
如果您计划加密数据库连接，请为TLS设置PostgreSQL或SQL Server部署。

在机器命令行中输入适用于您环境的命令：

在常规环境中：

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。

要登录 Docker 映像注册表，请输入以下内容：

docker login -u hdscustomersro

在密码提示下，输入以下哈希：

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

下载适用于您环境的最新稳定映像：

在常规环境中：

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中：

docker pull ciscocitg/hds-setup-fedramp:stable

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在使用HTTPS代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost， http://127.0.0.1:8080 ，并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。该工具随后会显示标准登录提示。

出现提示时，输入您的Control Hub客户管理员登录凭证，然后单击登录以允许访问混合数据安全所需的服务。

在Setup Tool概述页面上，单击 Get Started。

在 ISO导入页面上，您有以下选项：

否—如果要创建第一个HDS节点，则没有要上传的ISO文件。
是—如果您已经创建了HDS节点，则可以在浏览中选择ISO文件并上传。

检查您的X.509证书是否符合X.509证书要求中的要求。

如果您之前从未上传过证书，请上传X.509证书，输入密码，然后单击继续。
如果证书确定，请单击继续。
如果您的证书已过期或要替换，请选择否以继续使用HDS证书链和先前ISO的私钥？。上传新的X.509证书，输入密码，然后单击继续。

输入HDS的数据库地址和帐户以访问您的密钥数据存储：

选择您的数据库类型（PostgreSQL 或 Microsoft SQL Server）。

如果选择 Microsoft SQL Server，将会看到“身份验证类型”字段。
（仅Microsoft SQL Server）选择您的验证类型：
- 基本验证：您需要在名字段中提供本地SQL Server帐户名称。
- Windows验证：您需要一个格式为Windows帐户 username@DOMAIN 在用户名字段中。
在表单中输入数据库服务器地址 <hostname>:<port> 或 <IP-address>:<port> 。

例如：
dbhost.example.org:1433 或 198.51.100.17:1433

如果节点无法使用DNS解析主机名，可以使用IP地址进行基本验证。

如果您使用的是Windows验证，则必须以格式输入完全限定域名 dbhost.example.org:1433
输入数据库名称。
在密钥存储数据库中输入具有所有权限的用户的用户名和密码。

选择 <UNK> LS数据库连接模式：

模式

描述

首选 TLS（缺省选项）

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用TLS，节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

仅当数据库服务器可以协商 TLS 时，HDS 节点才会连接。
建立TLS连接后，节点将来自数据库服务器的证书签名者与库根证书中的证书颁发机构。如果不匹配，节点将断开连接。
节点还会验证服务器证书中的主机名是否与主机和端口字段中的主机名匹配。名称必须完全匹配，否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

在“系统日志”页面上，配置您的Sy 服务器：

输入系统日志服务器URL。

如果服务器无法从HDS群集的节点解析DNS，请在URL中使用IP地址。

例如：
udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。
如果您将服务器设置为使用TLS加密，请检查您的系统日志服务器是否配置了SSL加密？。

如果选中此复选框，请确保输入TCP URL，例如 tcp://10.92.43.23:514 。
从选择系统日志记录终止下拉列表中，为您的ISO文件选择适当的设置： Select或Newline用于Graylog和Rsyslog TCP
- 字节为空-- \x00
- Newline -- \n-为Graylog和Rsyslog TCP选择此选项。
单击继续。

（可选）您可以在高级设置中更改某些数据库连接参数的默认值。通常，此参数是您唯一可能要更改的参数：

app_datasource_connection_pool_maxSize: 10

单击重置服务帐户密码屏幕上的继续。

服务帐户密码的有效期为九个月。当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

单击 ISO文件。将文件保存在易于查找的位置。

在本地系统上备份ISO文件。

确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

要关闭设置工具，请键入 CTRL+C 。

下一步

我们从来没有这个密钥的副本，如果你丢失了它，我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

选择“文件 > 部署 OVF 模板”。

在向导中，指定您之前下载的OVA文件的位置，然后单击 下一步。

在 选择名称和文件夹 页，输入 拟机名称 对于节点（例如“HDS_ode_1”），选择虚拟机节点部署可以驻留的位置，然后单击 下一步。

在 计算资源 页，选择目标计算资源，然后单击 下一步。

运行验证检查。完成后，将显示模板详细信息。

验证模板详细信息，然后单击下一步。

如果您被要求在 上选择资源配置 页，单击 4个CPU，然后单击 下一步。

在 存储空间 页，单击 下一步 接受默认磁盘格式和VM存储策略。

在网络页，从条目列表中选择网络选项以提供所需的VM连接。

在自定义模板页面上，配置以下网络设置：

主机名—输入FQDN（主机名和域）或节点的单字主机名。

您无需将域设置为与用于获取X.509证书的域匹配。
要确保成功注册到云，请在为节点设置的FQDN或主机名中仅使用小写字符。目前不支持大写字符。
FQDN 的总长度绝不得超过 64 个字符。

IP地址 -输入节点内部接口的IP地址。

节点应具有内部IP地址和DNS名称。不支持DHCP。
掩码-以点数表示输入子网掩码地址。例如，255.255.255.0。
网关—输入网关IP地址。网关是一个网络节点，可作为另一个网络的接入点。
DNS服务器-输入以逗号分隔的DNS服务器列表，用于将域名转换为数字IP地址。（最多允许4个DNS条目。）
NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。缺省NTP服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个NTP服务器。

在同一子网或VLAN上部署所有节点，以便出于管理目的，可以从网络中的客户端访问群集中的所有节点。

如果您愿意，可以跳过网络设置配置，然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

右键单击节点虚拟机，然后选择 > 电。

混合数据安全软件作为访客安装在VM主机上。您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前，您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息，此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。如果在部署OVA时未配置节点，也可以使用控制台配置节点的网络设置。

1	在VMware vSphere客户端中，选择混合数据安全节点VM，然后选择控制台选项卡。 VM启动并显示登录提示。如果没有显示登录提示，请按 Enter 键。
2	使用以下缺省登录和密码登录并更改凭证：登录名： `admin` 密码： `cisco` 由于您是首次登录VM，您需要更改管理员密码。
3	如果您已经在安装HDS主机OVA中配置了网络设置，请跳过此程序的其余部分。否则，在主菜单中选择编辑配置选项。
4	使用IP地址、掩码、网关和DNS信息设置静态配置。节点应具有内部IP地址和DNS名称。不支持DHCP。
5	（可选）根据需要更改主机名、域或NTP服务器，以匹配您的网络策略。您无需将域设置为与用于获取X.509证书的域匹配。
6	保存网络配置并重启虚拟机，使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

从您的计算机上传ISO文件：

在VMware vSphere客户端的左侧导航窗格中，单击ESXi服务器。
在配置标签页的硬件列表中，单击存储空间。
在数据存储列表中，右键单击VM的数据存储，然后单击浏览数据存储。
单击“上传文件”图标，然后单击“上传文件”。
浏览到您将ISO文件下载到计算机上的位置，然后单击打开。
单击是接受上传/下载操作警告，并关闭数据存储对话框。

安装ISO文件：

在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击确定以接受限制编辑选项警告。
单击 CD/DVD Drive 1 ，选择从数据存储ISO文件安装的选项，然后浏览到您上传配置ISO文件的位置。
检查已连接和接通电源时连接。
保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求，您可以选择在所有节点获取配置更改后卸载ISO文件。请参阅（可选）卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

准备工作

请参阅支持受支持代理选项的概述。
代理服务器要求

1	输入HDS节点设置URL `https://[HDS Node IP or FQDN]/setup` 在Web浏览器中，输入您为节点设置的管理员凭证，然后单击登录。
2	转至信任库和代理，然后选择一个选项：无代理 - 集成代理之前的缺省选项。无需证书更新。透明不检查代理 - 节点没有配置为使用特定代理服务器地址，不需要任何更改即可使用不检查代理。无需证书更新。透明检查代理 - 节点没有配置为使用特定代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改，但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。显式代理 - 使用显式代理时，您可以告诉客户端（HDS 节点）要使用哪个代理服务器，并且此选项支持多种验证类型。选择此选项后，您必须输入以下信息：代理 IP/FQDN - 可用于访问代理机器的地址。代理端口 - 代理用来侦听代理流量的端口号。代理协议 - 选择 http（查看和控制从客户端接收的所有请求）或 https（提供到达服务器的通道以及客户端接收和验证服务器证书的通道）。根据代理服务器支持的内容选择一个选项。验证类型 - 从以下验证类型中进行选择：无 - 无需进一步验证。适用于 HTTP 或 HTTPS 代理。基本 - 用于 HTTP 用户代理，以便在发出请求时提供用户名和密码。使用 Base64 编码。适用于 HTTP 或 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。摘要 - 用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。仅适用于 HTTPS 代理。如果选择此选项，还必须输入用户名和密码。按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。
3	单击上传根证书或最终实体证书，然后导航以选择代理的根证书。证书已上传但尚未安装，因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息，如果您操作错误并希望重新上传文件，请单击删除。
4	单击检查代理连接以测试节点和代理服务器之间的网络连接。如果连接测试失败，您将看到一条错误消息，其中显示了错误原因以及解决方法。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置，节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是错误，请完成这些步骤，然后查看关闭阻止的外部DNS解析模式。
5	在连接测试通过后，对于设置为仅限 https 的显式代理，打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。
6	单击将所有证书安装到信任库（对 HTTPS 显式代理或透明检查代理显示）或重启（对 HTTP 显式代理显示），阅读提示，然后在准备就绪后单击安装。节点在几分钟内重启。
7	节点重启后，重新登录（如需要），然后打开概述页面以执行连接检查，确保它们均为绿色状态。代理连接检查仅测试 webex.com 的子域。如果存在连接问题，常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点，向Webex云注册节点，然后将其转换为混合数据安全节点。

注册首个节点时，需要创建要将该节点分配到的集群。群集包含一个或多个用于提供冗余的节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	登录到 https://admin.webex.com。
2	从屏幕左侧的菜单中选择“服务”。
3	在“混合服务”部分，找到混合数据安全，然后单击设置。出现注册混合数据安全节点页。
4	选择是表示您已设置节点并准备好注册，然后单击下一步。
5	在第一个字段中，输入要分配混合数据安全节点的集群的名称。建议您基于群集节点的地理位置来命名该群集。例如： “旧金山”或“纽约”或“达拉斯”
6	在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。出现一条消息，表示您可以将节点注册到Webex。
7	单击转至节点。
8	单击警告消息中的继续。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认要向Webex组织授予访问您节点的权限。
9	选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。
10	单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。在混合数据安全页面上，将显示包含您注册的节点的新集群。该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点，只需创建其他VM并安装相同的配置ISO文件，然后注册该节点。我们建议您至少拥有3个节点。

准备工作

开始注册节点时，您必须在 60 分钟内完成注册，否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序，或允许admin.webex.com例外。

1	从OVA创建新虚拟机，重复安装HDS主机OVA中的步骤。
2	在新VM上设置初始配置，重复设置混合数据安全VM中的步骤。
3	在新的VM上，重复“上传并挂载HDS配置ISO”中的步骤。
4	如果要为部署设置代理，请根据需要为新节点重复为代理集成配置HDS节点中的步骤。
5	注册节点。在 https://admin.webex.com 中，从屏幕左侧的菜单中选择“服务”。在“混合服务”部分，找到混合数据安全卡，然后单击“资源”(Resources)。出现“混合数据安全资源”页。单击添加资源。在第一个字段中，选择现有集群的名称。在第二个字段中，输入节点的内部IP地址或完全限定域名(FQDN)，然后单击下一步。出现一条消息，表示您可以将节点注册到Webex云。单击转至节点。片刻之后，您将被重定向到Webex服务的节点连接测试。如果所有测试均成功，将出现允许访问混合数据安全节点页。在此，您确认是否要向组织授予访问节点的权限。选中允许访问您的混合数据安全节点复选框，然后单击继续。您的帐户已过验证，“注册已完成”消息表示您的节点现在已注册到Webex云。单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。节点已注册。请注意，在开始试用之前，节点会生成警报，指示您的服务尚未激活。

下一步

运行试用并进入生产阶段（下一章）

运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后，您可以启动试点，向其添加用户，并开始使用它来测试和验证您的部署，为进入生产阶段做好准备。

准备工作

1	如果适用，同步 `HdsTrialGroup` 组对象。如果您的组织对用户使用目录同步，则必须选择 `HdsTrialGroup` 先对对象进行分组，以便同步到云，然后才能开始试用。有关说明，请参阅《Cisco目录连接器的指南》。
2	激活试用开始试用。在执行此任务之前，节点将生成警报，指示服务尚未激活。
3	测试混合数据安全部署检查关键请求是否传递给您的混合数据安全部署。
4	监控混合数据安全运行状况检查状态并设置警报的电子邮件通知。
5	从试用中添加或删除用户
6	通过以下操作之一完成试验阶段：从试用过渡到生产在不进入生产阶段的情况下结束试用

激活试用

准备工作

1	登录 https://admin.webex.com，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”部分，单击开始试用。服务状态将更改为试用模式。
4	单击添加用户，输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步，请使用Active Directory管理试用组， `HdsTrialGroup` 列表）

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志，以验证关键请求是否传递给混合数据安全部署。

给定空间的键由空间创建者设置。作为试点用户之一登录Webex应用程序，然后创建空间并邀请至少一个试点用户和一个非试点用户。

如果停用混合数据安全部署，则一旦替换了客户端缓存的加密密钥副本，将无法再访问试点用户创建的空间中的内容。

将消息发送到新空间。

检查系统日志输出，以验证关键请求是否传递给混合数据安全部署。

要在建立到KMS的安全通道之前检查用户，请在 kms.data.method=create 和 kms.data.type=EPHEMERAL_KEY_COLLECTION:

您应该找到如下条目（为便于阅读而缩写的标识符）：

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

要检查从KMS请求现有密钥的用户，请在 kms.data.method=retrieve 和 kms.data.type=KEY:

您应该找到以下条目：

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

要检查是否有用户请求创建新的KMS密钥，请按 kms.data.method=create 和 kms.data.type=KEY_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户，请在 kms.data.method=create 和 kms.data.type=RESOURCE_COLLECTION:

您应该找到以下条目：

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

1	在 Control Hub中，从屏幕左侧的菜单中选择服务。
2	在“混合服务”部分，找到混合数据安全，然后单击设置。出现“混合数据安全设置”页。
3	在电子邮件通知部分，输入一个或多个以逗号分隔的电子邮件地址，然后按 Enter。

从试用中添加或删除用户

在激活试用并添加初始试用用户集后，您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户，用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。如果客户端需要存储在KMS上的密钥，云KMS将代表用户获取密钥。

如果您的组织使用目录同步，请使用Active Directory（而非此程序）管理试用组， HdsTrialGroup ；您可以在Control Hub中查看组成员，但无法添加或删除他们。

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“服务状态”区域的“试用模式”部分中，单击添加用户，或单击查看和编辑将用户从试用中删除。
4	输入要添加的一个或多个用户的电子邮件地址，或者通过用户ID单击 X 将该用户从试用中删除。然后单击保存。

从试用过渡到生产

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在Service Status部分，单击 Move to Production。
4	确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

1	登录Control Hub，然后选择服务。
2	在混合数据安全下，单击设置。
3	在“停用”区域中，单击停用。
4	确认您要停用服务并结束试用。

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

要设置升级安排：

1	登录到 Control Hub。
2	在“概述”页面上的混合服务下，选择混合数据安全。
3	在“混合数据安全资源”页上，选择群集。
4	在右侧“概述”面板中的“集群设置”下，选择集群名称。
5	在“设置”页面中的“升级”下方，为升级安排选择时间与时区。注：下一可用升级的日期与时间显示在时区下。如有需要，您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因，有时可能需要更改混合数据安全节点的配置：

由于过期或其他原因而需要更改 x.509 证书。

我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

更新数据库设置，以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

创建新配置，以准备新的数据中心。

软重设 - 旧密码和新密码均最多使用 10 天。在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。

如果密码过期而未重设，其将影响 HDS 服务，需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

描述	变量
无身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
无身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
有身份验证的 HTTP 代理	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
有身份验证的 HTTPS 代理	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

您需要当前配置 ISO 文件的副本，才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO，包括数据库凭证、证书更新或授权策略的变更。

使用本地计算机上的 Docker 运行 HDS 设置工具。

在机器命令行中输入适用于您环境的命令：
在常规环境中：
```
docker rmi ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像，它将返回一个可忽略的错误。
要登录 Docker 映像注册表，请输入以下内容：
```
docker login -u hdscustomersro
```
在密码提示下，输入以下哈希：
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```
下载适用于您环境的最新稳定映像：
在常规环境中：
```
docker pull ciscocitg/hds-setup:stable
```
在 FedRAMP 环境中：
```
docker pull ciscocitg/hds-setup-fedramp:stable
```
请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

拉取完成后，输入适用于您环境的命令：

在无代理的常规环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

在有 HTTP 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在有 HTTPS 代理的常规环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

在无代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

在有 HTTP 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

在有 HTTPS 代理的 FedRAMP 环境中：

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时，您会看到“Express 服务器正在侦听端口 8080。”

使用浏览器连接到localhost， http://127.0.0.1:8080 。

设置工具不支持通过 http：//localhost：8080 连接到localhost。使用 http://127.0.0.1:8080 连接到localhost。
出现提示时，输入您的 Control Hub 客户登录凭证，然后单击接受继续操作。
导入当前配置 ISO 文件。
根据提示完成工具并下载更新后的文件。

要关闭设置工具，请键入 CTRL+C 。
在另一个数据中心为更新的文件创建备份副本。

安装 HDS 主机 OVA。
设置 HDS VM。
安装更新的配置文件。
在 Control Hub 中注册新节点。

对于运行旧配置文件的现有 HDS 节点，请设置 ISO 文件。请依次在每个节点上执行以下步骤，在关闭下一节点之前更新每个节点：

关闭虚拟机。
在 VMware vSphere 客户端左侧的导航窗格中，右键单击 VM，然后单击编辑设置。
单击 CD/DVD Drive 1 ，选择从ISO文件安装的选项，然后浏览到您下载新配置ISO文件的位置。
选中开机时连接。
保存您的更改并打开虚拟机。

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称，则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称，并且您的节点可以与其通信。

1	在Web浏览器中，打开混合数据安全节点界面(例如，IP地址/设置，https://192.0.2.0/setup), 输入为节点设置的管理员凭证，然后单击 In。
2	转至概述（缺省页面）。启用后，阻止外部 DNS 解析会设置为是。
3	转至信任库和代理页面。
4	单击检查代理连接。如果您看到一条消息指示外部 DNS 解析未成功息，节点无法访问 DNS 服务器并将保持此模式。否则，在您重启节点并返回概述页面后，阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从群集中删除节点后，删除虚拟机以防止进一步访问您的安全数据。

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

删除节点：

登录Control Hub，然后选择服务。
在混合数据安全卡上，单击查看全部以显示“混合数据安全资源”页。
选择簇以显示其概述面板。
单击节点列表。
在“节点”选项卡上，选择要删除的节点。
单击 > 注册节点。

在vSphere客户端中，删除VM。（在左侧导航窗格中，右键单击VM，然后单击删除。）

如果不删除虚拟机，请记得卸载配置ISO文件。如果没有ISO文件，您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

如果灾难导致主数据中心中的HDS部署不可用，请按照此程序手动将故障转移到备用数据中心。

启动HDS设置工具，然后按照为HDS主机创建配置ISO中提到的步骤操作。

配置Syslogd服务器后，单击设置

在高级设置页面上，在下面添加配置或删除 passiveMode 使节点活动的配置。配置后，节点可以处理流量。


passiveMode: 'false'

完成配置过程并将ISO文件保存在易于找到的位置。

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

在VMware vSphere客户端的左侧导航窗格中，右键单击VM，然后单击编辑设置。

单击编辑设置>CD/DVD Drive 1，然后选择数据存储器ISO文件。

确保已选中“已连接”和“电源上连接”，以便更新的配置更改在启动节点后生效。

打开HDS节点电源，并确保至少15分钟内没有警报。

为待机数据中心中的每个节点重复该过程。

检查系统日志输出，以验证备用数据中心的节点未处于被动模式。系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后，如果主数据中心再次变为活动状态，请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

（可选）在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。但是，有些客户不希望ISO文件连续安装。您可以在所有HDS节点接受新配置后卸载ISO文件。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1	关闭其中一个HDS节点。
2	在vCenter Server 中，选择HDS节点。
3	选择设置 > <UNK> /DVD驱动器并取消选中存储器ISO文件。
4	打开HDS节点电源，并确保至少20分钟内没有警报。
5	对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

无法创建新空间（无法创建新密钥）
消息和空间标题无法解密：
- 添加到空间的新用户（无法获取密钥）
- 空间中使用新客户端的现有用户（无法获取密钥）
只要其客户端拥有加密密钥缓存，空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报，以避免服务中断。

警告

如果混合数据安全设置出现问题，Control Hub会向组织管理员显示警告，并向配置的电子邮件地址发送电子邮件。警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤
预警	操作
本地数据库访问失败。	检查数据库错误或本地网络问题。
本地数据库连接失败。	检查数据库服务器是否可用，并且节点配置中使用了正确的服务帐户凭证。
云服务访问失败。	检查节点是否可以按连接要求 Webex服务器。
续订云服务注册。	云服务的注册已取消。正在续订注册。
云服务注册已断开。	云服务的注册已终止。服务正在关闭。
服务尚未激活。	激活试用或完成将试用转入生产阶段。
配置的域与服务器证书不匹配。	确保服务器证书与配置的服务激活域匹配。最可能的原因是证书CN最近发生了更改，现在与初始设置期间使用的CN不同。
向云服务验证失败。	检查服务帐户凭证的准确性和可能的过期时间。
打开本地密钥库文件失败。	检查本地密钥库文件的完整性和密码准确性。
本地服务器证书无效。	检查服务器证书的到期日期，并确认它是由受信任的证书颁发机构颁发的。
无法发布指标。	检查外部云服务的本地网络访问。
/media/configdrive/hds目录不存在。	检查虚拟主机上的ISO安装配置。验证ISO文件是否存在，是否已配置为在重启时安装，以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时，请遵循以下一般准则。

1	查看Control Hub中的任何警告并修复您在此处找到的任何项目。
2	查看来自混合数据安全部署的系统日志服务器输出的活动。
3	请联系思科支持人员。

其他备注

混合数据安全的已知问题

如果您关闭混合数据安全群集（通过在Control Hub中删除该群集或关闭所有节点）、丢失配置ISO文件或失去对密钥库数据库的访问权限，Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。这适用于试用版和量产版部署。我们目前没有解决此问题的变通方法或修复方法，我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间（可能为一小时）。当用户成为混合数据安全试用的成员时，用户的客户端将继续使用现有的ECDH连接，直到超时。或者，用户可以注销并重新登录到Webex应用程序，以更新应用程序用于加密密钥的联系人位置。

当您为组织将试用转入生产模式时，也会发生相同的行为。所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务，直到ECDH连接重新协商（通过超时或注销和重新登录）。

使用OpenSSL生成PKCS12文件

准备工作

OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。还有其他方法可以做到这一点，我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL，我们提供此程序作为指导，帮助您创建符合X.509证书要求中的X.509证书要求的文件。请先了解这些要求，然后再继续。
在支持的环境中安装OpenSSL。有关软件和文档，请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。

1	当您从CA收到服务器证书时，将其另存为 `hdsnode.pem` 。
2	将证书显示为文本并验证详细信息。 `openssl x509 -text -noout -in hdsnode.pem`
3	使用文本编辑器创建名为证书捆绑包的文件。 `hdsnode-bundle.pem` 。捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书： `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	使用友好名称创建。p12文件 `kms-private-key` 。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	检查服务器证书详细信息。 `openssl pkcs12 -in hdsnode.p12` 在提示处输入密码以加密私钥，使其在输出中列出。然后，验证私钥和第一个证书是否包含线路 `friendlyName: kms-private-key`。例如： bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

下一步

返回到完成混合数据安全的前提条件。您将使用 hdsnode.p12 在为HDS主机创建配置ISO中为其设置的文件和密码。

在原始证书过期时，您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量：

来自客户端的加密请求，由加密服务路由
升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性，并将以下规则添加到 squid.conf 。随着我们不断开发功能和更新 Webex 云，这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

序言

新信息和更改信息

日期	已作更改
2023年10月20日	数据库服务器要求中的更新信息。已添加设置灾难恢复待机数据中心。在灾难恢复待机数据中心和使用待机数据中心进行灾难恢复中更新信息。
2023年8月7日	在下载安装文件中添加注释。在为HDS主机创建配置ISO 和更改节点配置中添加注释。
2023年5月23日	已从数据库服务器要求中删除信息，请求通过联系帐户团队启用功能。更新了外部连接要求中的信息，并将加拿大添加到CI主持人表中。在部署混合数据安全的期望中添加了关于无法将密钥移动回云的机制的说明。
2022年12月6日	HDS设置工具图像现在托管在 `ciscocitg` 码集存储库中。已更新为HDS主持人创建配置ISO 和更改节点配置主题以重写命令中的更改。
2022年11月23日	HDS节点现在可以对Microsoft SQL Server使用Windows身份验证。更新了数据库服务器要求主题，并增加了此身份验证模式的其他要求。已更新为HDS主持人创建配置ISO ，其中包含在节点上配置Windows身份验证的程序。以新的最低要求版本(PostgreSQL 10)更新了数据库服务器要求主题。
2021 年 10 月 13 日	在安装HDS节点之前，Docker Desktop需要运行设置程序。请参阅 Docker桌面要求。
2021 年 6 月 24 日	请注意，您可以重用私钥文件和CSR请求另一个证书。有关详细信息，请参阅使用OpenSSL生成PKCS12文件。
2021年4月30日	将本地硬盘空间的VM要求更改为30 GB。有关详细信息，请参阅虚拟主机要求。
2021 年 2 月 24 日	HDS设置工具现在可以在代理后运行。有关详细信息，请参阅为HDS主持人创建配置ISO 。
2021 年 2 月 2 日	HDS现在可以在没有已安装的ISO文件的情况下运行。有关详细信息，请参阅（可选）在HDS配置后卸载ISO 。
2021年1月11日	添加有关HDS设置工具和代理的信息，以为HDS主持人创建配置ISO。
2020 年 10 月 13 日	已更新下载安装文件。
2020 年 10 月 8 日	已更新为HDS主持人创建配置ISO ，并使用FedRAMP环境的命令更改节点配置。
2020 年 8 月 14 日	已更新为HDS主持人创建配置ISO 并更改登录流程更改节点配置。
2020年8月5日	已更新测试混合数据安全部署，了解日志消息中的更改。已更新虚拟主持人要求以删除最大主持人数量。
2020年6月16日	已更新删除节点，以便在Control Hub UI中进行更改。
2020年6月4日	已更新为HDS主持人创建配置ISO ，以用于可能设置的高级设置中的更改。
2020年5月29日	已更新为HDS主机创建配置ISO ，以显示您还可以使用TLS与SQL Server数据库、UI更改和其他说明。
2020年5月5日	已更新虚拟主机要求以显示ESXi 6.5的新要求。
2020 年 4 月 21 日	通过新的Americas CI主持人更新了外部连接要求。
2020 年 4 月 1 日	更新了外部连接要求，其中包含有关区域CI主持人的信息。
2020 年 2 月 20 日	已更新为HDS主持人创建配置ISO ，其中包含有关HDS设置工具中的新可选高级设置屏幕的信息。
2020年2月4日	已更新的代理服务器要求。
2019年12月16日	澄清了在代理服务器要求中运行的受阻止外部DNS解析模式的要求。
2019 年 11 月 19 日	在以下章节中添加了关于受阻止外部DNS解析模式的信息：代理支持配置用于代理集成的 HDS 节点关闭阻止外部 DNS 解析模式
2019 年 11 月 8 日	现在可以在部署OVA时配置节点的网络设置，而不是稍后配置。相应更新以下部分：混合数据安全部署任务流程安装 HDS 主机 OVA 设置混合数据安全 VM 在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。
2019 年 9 月 6 日	将SQL Server标准添加到数据库服务器要求中。
2019 年 8 月 29 日	已添加为混合数据安全配置Squid代理附录，其中包含有关配置Squid代理以忽略WebSocket流量以进行正确操作的指导。
2019 年 8 月 20 日	添加和更新部分以涵盖混合数据安全节点通信到Webex云的代理支持。代理支持代理服务器要求配置用于代理集成的 HDS 节点要仅访问现有部署的代理支持内容，请参阅混合数据安全和Webex视频网的代理支持帮助文章。
2019年6月13日	如果您的组织使用目录同步，将试用版更新为生产任务流程，并提醒在开始试用前，`HdsTrialGroup` 组对象同步。
2019年3月6日	将要求和先决条件移至单独的章节，即准备环境。在设置混合数据安全集群章中添加了混合数据安全部署任务流程概述。请注意，在您开始试用（使用下一章中的说明）之前，您的节点会生成警报，表示您的服务尚未激活。在运行试用并移至生产章节中添加试用到生产任务流程。
2019 年 2 月 28 日	已更正了每个服务器在准备成为混合数据安全节点的虚拟主机（从50 GB到20 GB）时应留出的本地硬盘空间量，以反映OVA创建的磁盘大小。
2019 年 2 月 26 日	混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接，以及与TLS系统日志服务器的加密日志连接。已更新为HDS主持人创建配置ISO ，并附有说明。从“混合数据安全节点VM的互联网连接要求”表中删除目标URL。该表现在引用 Webex Teams Services的网络要求的“Webex Teams Hybrid Services的其他URL”表中维护的列表。
2019 年 1 月 24 日	混合数据安全现在支持Microsoft SQL Server作为数据库。SQL Server Always On（始终在故障转移集群和始终在可用性组中）由混合数据安全中使用的JDBC驱动程序支持。添加与使用SQL Server部署相关的内容。 Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前，我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。
2018年11月5日	在为HDS主持人创建配置ISO 和更改节点配置中添加了清理任何现有docker hds实例的初步步骤。更新了为HDS主持人创建配置ISO 中的关键访问级别步骤，以匹配界面。
2018 年 10 月 19 日	在完成混合数据安全的先决条件中将防火墙连接信息分为节点要求和ISO配置机器要求。
2018 年 7 月 31 日	添加端口22（SSH访问权限）以及有关NAT和防火墙连接的信息，以完成混合数据安全的先决条件。
2018 年 5 月 21 日	已更改术语以反映Cisco Spark的品牌重塑： Cisco Spark Hybrid Data Security现在是Hybrid Data Security。 Cisco Spark应用程序现在是Webex应用程序。 Cisco Collaboraton云现在是Webex云。
2018年4月11日	已添加灾难恢复待机数据中心。已更新完成混合数据安全的先决条件，指定备份环境应位于不同的数据中心。已更新使用待机数据中心进行灾难恢复。
2018 年 2 月 22 日	在为HDS主机创建配置ISO 和更改节点配置中添加有关服务帐户密码的9个月使用寿命的信息，并使用HDS设置工具重置服务帐户密码。
2018 年 2 月 15 日	在 X.509 证书要求表中，规定证书不能为通配符证书，并且 KMS 应使用 CN 域，而非 x.509v3 SAN 字段中定义的任何域。
2018 年 1 月 18 日	添加附录，HDS节点和云之间的流量。从混合数据安全的已知问题中删除已解决的问题。将index.docker.io更改为。docker.io，并在完成混合数据安全的前提条件中将。cloudfront.net添加到HDS节点的TCP连接要求列表中。已更新的为HDS主持人创建配置ISO ，以表明如果数据库主持人和Syslogd服务器无法从HDS节点解决DNS，则必须使用IP地址对其进行配置。
2017 年 11 月 2 日	澄清了 HdsTrialGroup 的目录同步。修改了上载 ISO 配置文件（用于安装至 VM 节点）的说明。
2017 年 8 月 18 日	首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起，数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密，由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥，客户端则使用密钥动态地加密和解密消息和文件。

默认情况下，所有Webex应用程序客户都会使用存储在Cisco的安全领域中的动态密钥进行端到端加密，这些密钥存储在Cloud KMS中。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心，确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域，如下所示。

要进一步了解Hybrid Data Security，我们首先来看这个纯云案例，Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息（例如电子邮件地址）的唯一场所，该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中，客户端是用户笔记本电脑上运行的Webex应用程序，并已通过身份服务进行验证。当用户编辑消息并发送到空间时，将执行以下步骤：

客户端会与密钥管理服务 (KMS) 建立安全连接，然后请求密钥对消息进行加密。安全连接使用 ECDH，KMS 使用 AES-256 主密钥对密钥进行加密。
系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务，该服务会创建加密的搜索索引，以便于今后搜索相关内容。
加密消息被发送到合规性服务，以进行合规性检查。
加密消息被存储到存储域中。

部署混合数据安全时，将安全领域功能（KMS、索引和合规性）移至您的内部数据中心。构成Webex的其他云服务（包括身份和内容存储）仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时（因为该空间由您的某位用户创建），KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是，当其他组织拥有空间的密钥时，您的KMS通过单独的ECDH通道将请求发送到WEBEX云，从适当的KMS获取密钥，然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署的详细信息，请参阅准备环境。

部署混合数据安全的期望

混合数据安全部署需要对客户做出重大承诺，并了解拥有加密密钥所带来的风险。

要部署混合数据安全，您必须提供：

Cisco Webex Teams计划支持位置的国家中的安全数据中心。
中所述的设备、软件和网络访问权。

完全丢失为混合数据安全构建的配置ISO或您提供的数据库，将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况，您可以构建一个新的部署，但只有新内容可见。为了防止丢失数据访问权，您必须：

管理数据库的备份和恢复以及配置 ISO。
准备在发生灾难时执行快速灾难恢复，例如数据库磁盘故障或数据中心灾难。

在HDS部署后，没有将密钥移回云的机制。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理：

设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件，在试用模式下使用一组用户测试部署，并在测试完成后进入生产。这会转换整个组织，以便将混合数据安全集群用于安全功能。
安装、试用和生产阶段将在接下来的三章中详细介绍。
保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持，必要时还可联系 Cisco 支持人员。您可以在Control Hub中使用屏幕通知并设置基于电子邮件的警报。
了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题，本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中，您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中，我们会为您提供 OVA 文件，以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。（您在HDS设置工具中配置Syslogd和数据库连接详细信息。）

混合数据安全部署模式

在一个集群中，您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。（Webex云一次仅升级一个节点。）

集群中的所有节点可访问同一密钥数据存储库，并将活动记录到同一系统日志服务器中。节点本身是无状态的，它会根据云端的指示以轮询调度方式处理密钥请求。

在Control Hub中注册节点时，节点将处于活动状态。要停用个别节点，可先将其取消注册，稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后，首先尝试使用一组试点用户。在试用期间，这些用户使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务，则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对部署在试用用户中运行良好，并且已准备好将混合数据安全扩展到所有用户，请将部署移至生产。试用用户仍有权获取试用期间所用的密钥。但是，您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务（例如要执行灾难恢复），则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用，然后才能移回生产模式。用户在此处是否保留对数据的访问取决于您是否已成功维护集群中的混合数据安全节点的关键数据存储和ISO配置文件的备份。

灾难恢复待机数据中心

部署期间，您设置安全备用数据中心。如果发生数据中心灾难，您可以手动将部署到待机数据中心失败。

在故障转移之前，Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库，而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后，Data Center B具有活动的HDS节点和主要数据库，而A具有未注册虚拟机和ISO文件的副本，并且数据库处于待机模式。 — ***手动故障转移至待机数据中心***

活动数据中心和待机数据中心的数据库相互同步，从而将执行故障转移所需的时间降至最低。待机数据中心的ISO文件通过附加配置更新，确保节点已注册到组织，但不会处理流量。因此，待机数据中心的节点始终是最新的HDS软件版本。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

设置灾难恢复待机数据中心

按照以下步骤配置待机数据中心的ISO文件：

开始之前

待机数据中心应镜像VM的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如，如果生产环境中有 3 个运行 HDS 节点的 VM，那么备份环境中也应有 3 个 VM。（有关此故障转移模型的概述，请参阅灾难恢复待机数据中心。）
确保主动和被动集群节点数据库之间启用数据库同步。

1	启动HDS设置工具，并按照为HDS主持人创建配置ISO 中提到的步骤操作。 ISO文件必须是主要数据中心的原始ISO文件的副本，要对其进行以下配置更新。
2	配置Syslogd服务器后，单击高级设置
3	在高级设置页面上，添加下面的配置，将节点置于被动模式中。在此模式下，节点将注册到组织并连接到云，但不会处理任何流量。 `被动模式：“真”`
4	完成配置过程并将该ISO文件保存在易于查找的位置。
5	在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。
6	在VMware vSphere客户端左侧导航窗格中，右键单击VM并单击编辑设置。
7	单击编辑设置> CD/DVD驱动器1 ，然后选择Datastore ISO文件。确保已检查已连接和已连接，以便启动节点后更新配置更改生效。
8	打开HDS节点，并确保至少15分钟没有警报。
9	为待机数据中心中的每个节点重复该过程。检查系统符号，验证节点是否处于被动模式。您应该能够在系统标语中查看“以被动模式配置的KMS”消息。

下一步

在ISO文件中配置 passiveMode 并保存后，无需使用 passiveMode 配置即可创建另一个ISO文件的副本，并将其保存在安全位置。未配置的被动模式 的ISO文件的副本有助于在灾难恢复期间快速故障转移。请参阅使用待机数据中心灾难恢复了解详细的故障转移程序。

代理支持

混合数据安全节点支持以下代理选项：

无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理，则默认设置。无需证书更新。
透明非检查代理—节点未配置为使用特定的代理服务器地址，不应要求任何更改才能使用非检查代理。无需证书更新。
透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是，节点需要根证书，以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量（甚至 HTTPS）。
显式代理—通过显式代理，您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理，您必须在每个节点上输入以下信息：
1. 代理IP/FQDN—可用于到达代理计算机的地址。
2. 代理端口—代理用于侦听代理流量的端口号。
3. 代理协议—根据代理服务器支持的内容，选择以下协议：
  - HTTP - 查看和控制客户端发送的所有请求。
  - HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。
4. 身份验证类型—从以下身份验证类型中选择：
  - 无 -无需进一步验证。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
  - 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。
    
    在选择 HTTP 或 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。
  - 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前，对其应用哈希函数。
    
    仅当您选择 HTTPS 作为代理协议时可用。
    
    要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

阻止外部 DNS 解析模式（显式代理配置）

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全：

您必须拥有Cisco Webex Control Hub的Pro Pack。（请参阅https://www.cisco.com/go/pro-pack。）

Docker桌面要求

安装HDS节点之前，需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息，请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求：

表1。混合数据安全部署的X.509证书要求
要求	详细说明
由可信的证书颁发机构 (CA) 签署	默认情况下，我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表（WoSign和StartCom除外）中的CA。
具有用于标识您的混合数据安全部署的通用名称(CN)域名不是通配符证书	不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称，例如 `hds.company.com`。 CN不能包含*（通配符）。 CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身，而非 x.509v3 SAN 字段中定义的域。使用此证书注册节点后，将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。
非 SHA1 签名	KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。
采用受密码保护的 PKCS #12 文件格式使用 `kms-private-key` 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。	可以使用转换器（例如 OpenSSL）来更改证书的格式。运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书（例如服务器验证）应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求：

在同一安全数据中心中共同放置至少两个独立的主机（推荐3个）
安装并运行VMware ESXi 6.5（或更高版本）。

如果您拥有较早版本的ESXi，则必须升级。
最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后，它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下：

表 2. 按数据库类型分列的数据库服务器要求
PostgreSQL	微软SQL服务器
已安装并运行PostgreSQL 14、15或16。	已安装SQL Server 2016、2017或2019（企业或标准）。 SQL Server 2016需要Service Pack 2和累积更新2或更高版本。
至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间，加上确保空间不会超限的监控措施（如果希望在无需增加存储空间的情况下长时间运行数据库，建议选择 2-TB ）	至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间，加上确保空间不会超限的监控措施（如果希望在无需增加存储空间的情况下长时间运行数据库，建议选择 2-TB ）

HDS软件目前正在安装以下驱动程序版本，以便与数据库服务器通信：

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On（始终在故障转移集群实例和始终在可用性组）。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库，则您需要在环境中执行以下配置：

HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。
您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。
您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。
您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名。

HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时，他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙，以允许HDS应用程序的以下连接：

应用程序	协议	端口	应用程序的方向	目标位置
混合数据安全节点	TCP	443	出站 HTTPS 和 WSS	Webex服务器： .wbx2.com .ciscospark.com 所有共同身份主持人在 Webex Services的网络要求表中针对混合数据安全列出的其他URL
HDS设置工具	TCP	443	出站HTTPS	*.wbx2.com 所有共同身份主持人 hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作，前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接，不应从互联网上看到任何端口。在您的数据中心中，客户端需要访问TCP端口443和22上的混合数据安全节点，用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人：

地区	通用标识主持人URL
美洲	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧盟	https://idbroker-eu.webex.com https://identity-eu.webex.com
加拿大	https://idbroker-ca.webex.com https://identity-ca.webex.com

代理服务器要求

我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。
- 透明代理 - Cisco Web 安全设备 (WSA)。
- 显式代理 - Squid。
  
  检查HTTPS流量的Squid代理可能会干扰Websocket (wss：)连接的建立。要解决此问题，请参阅为混合数据安全配置Squid代理。
我们支持显式代理的以下验证类型组合：
- 不进行 HTTP 或 HTTPS 验证
- 进行 HTTP 或 HTTPS 基本验证
- 仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理，您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题，绕过（不检查）到 wbx2.com 和 ciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。

1	确保您的Webex组织已为Cisco Webex Control Hub的Pro Pack启用，并获取具有完整组织管理员权限的帐户凭据。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。
2	选择用于HDS部署的域名（例如 `hds.company.com`）并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。
3	准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机（推荐3个主机），这些主机符合虚拟主机要求中的要求。
4	根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后，它会创建相应的数据库架构。）收集节点用于与数据库服务器通信的详细信息：主机名或 IP 地址（主机）和端口用于密钥存储的数据库的名称 (dbname) 对密钥存储数据库拥有全部权限的用户的用户名和密码
5	对于快速灾难恢复，请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如，如果生产环境中有 3 个运行 HDS 节点的 VM，那么备份环境中也应有 3 个 VM。
6	设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口（缺省值为 UDP 514）。
7	为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少，为了防止不可恢复的数据丢失，您必须备份为混合数据安全节点生成的数据库和配置ISO文件。由于混合数据安全节点存储用于加密和解密内容的密钥，因此未能维护操作部署将导致该内容的不可恢复的丢失。 Webex应用程序客户端会缓存其密钥，因此故障可能不会立即显现，但随着时间的推移会变得明显。虽然无法防止短暂中断发生，但可以对其进行恢复。不过，如果数据库或配置 ISO 文件被彻底丢失（无备份可用），就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件，并准备在发生灾难性的故障时重构混合数据安全数据中心。
8	确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。
9	在运行受支持的操作系统（Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本）的任何本地计算机上安装Docker ( https://www.docker.com)，并通过Web浏览器访问 http://127.0.0.1:8080. 您可以使用Docker实例下载并运行HDS设置工具，该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker桌面许可证。有关详细信息，请参阅 Docker桌面要求。要安装和运行HDS设置工具，本地机器必须具有外部连接要求中列出的连接。
10	如果您正在将代理与混合数据安全集成，请确保其符合代理服务器要求。
11	如果组织使用目录同步，则需要在 Active Directory 中创建名为 `HdsTrialGroup` 的组，并添加试用用户。试用组中最多可拥有 250 位用户。必须先将 `HdsTrialGroup` 对象同步到云端，才能为组织开始试用。要同步组对象，请在目录连接器的配置 > 对象选择菜单中选择它。（有关详细说明，请参阅 Cisco Directory连接器的部署指南。）给定空间的密钥由空间创建者设置。选择试点用户时，请记住，如果您决定永久停用Hybrid Data Security部署，所有用户将失去对试点用户创建的空间中的内容的访问权限。当用户的应用程序刷新内容的缓存副本后，丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

开始之前