- 主页
- /
- 文章
新信息和更改信息
日期 | 已作更改 | ||
---|---|---|---|
2023年10月20日 |
| ||
2023年8月7日 |
| ||
2023年5月23日 |
| ||
2022年12月6日 |
| ||
2022年11月23日 | |||
2021 年 10 月 13 日 | Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)。 | ||
2021 年 6 月 24 日 | 注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件。 | ||
2021 年 4 月 30 日 | 已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求。 | ||
2021 年 2 月 24 日 | HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。 | ||
2021 年 2 月 2 日 | HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。 | ||
2021年1月11日 | 添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。 | ||
2020 年 10 月 13 日 | 更新了下载安装文件。 | ||
2020 年 10 月 8 日 | 更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。 | ||
2020 年 8 月 14 日 | 更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置。 | ||
2020 年 8 月 5 日 | 更新了测试混合数据安全部署以了解日志消息的更改。 更新了 主机要求 以删除最大主机数量。 | ||
2020 年 6 月 16 日 | 更新了Control Hub UI中的删除节点更改。 | ||
2020 年 6 月 4 日 | 更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。 | ||
2020 年 5 月 29 日 | 更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。 | ||
2020 年 5 月 5 日 | 更新了 主机要求 ,显示ESXi 6.5的新要求。 | ||
2020 年 4 月 21 日 | 更新了新的美洲CI主机的外部连接要求。 | ||
2020 年 4 月 1 日 | 更新了有关区域CI主机的外部连接要求。 | ||
2020 年 2 月 20 日 | 更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。 | ||
2020年2月4日 | 更新了 服务器要求。 | ||
2019 年 12 月 16 日 | 阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。 | ||
2019 年 11 月 19 日 | 在以下部分中添加了有关阻止的外部DNS解析模式的信息: | ||
2019 年 11 月 8 日 | 现在,您可以在部署OVA时而不是在之后为节点配置网络设置。 相应更新了以下各节:
| ||
2019 年 9 月 6 日 | 将SQL Server标准版添加到 服务器要求。 | ||
2019 年 8 月 29 日 | 添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。 | ||
2019 年 8 月 20 日 | 添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。 要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。 | ||
2019年6月13日 | 将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。 | ||
2019年3月6日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 更改了术语以反映Cisco Spark的更名:
| ||
2018年4月11日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日 |
| ||
2017 年 8 月 18 日 | 首次发布 |
混合数据安全概述
从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。
缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。
安全领域体系结构
Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。
为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。
在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:
客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。
部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。
与其他组织协作
组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。
在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境。
对部署混合数据安全的期望
混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。
要部署混合数据安全,您必须提供:
位于Cisco Webex Teams计划 支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。
完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:
管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。
在HDS部署后,没有将密钥移回云的机制。 |
高层设置过程
本文档介绍了混合数据安全部署的设置和管理:
设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。
混合数据安全部署模型
在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。
在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)
一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)
群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。
当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。
我们只支持每个组织一个集群。
混合数据安全试验模式
设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。
如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。
如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。
用于灾难恢复的备用数据中心
在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。
活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。
活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。 |
设置灾难恢复的备用数据中心
按照以下步骤配置备用数据中心的ISO文件:
准备工作
备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)
确保在主动和被动群集节点的数据库之间启用数据库同步。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。
| ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
配置后 passiveMode
在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode
并将其保存在安全的位置。 该ISO文件的副本 passiveMode
配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。
代理支持
混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。
混合数据安全节点支持以下代理选项:
无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:
代理 IP/FQDN - 可用于访问代理机器的地址。
代理端口 - 代理用来侦听代理流量的端口号。
代理协议 - 根据代理服务器支持的内容,选择以下协议之一:
HTTP - 查看和控制客户端发送的所有请求。
HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。
验证类型 - 从以下验证类型中进行选择:
无 - 无需进一步验证。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。
仅当您选择 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
混合数据安全节点和代理的示例
此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。
阻止外部 DNS 解析模式(显式代理配置)
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。
混合数据安全要求
Cisco Webex许可证要求
要部署混合数据安全:
您必须拥有Pro Pack for Cisco Webex Control Hub。(请参阅 https://www.cisco.com/go/pro-pack。)
Docker Desktop要求
安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。
X.509证书要求
证书链必须满足以下要求:
要求 | 详细信息 |
---|---|
| 默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs。 |
| CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, CN不能包含*(通配符)。 CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。 使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。 |
| KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。 |
| 您可以使用转换器(例如OpenSSL)来更改证书的格式。 运行HDS设置工具时,您需要输入密码。 |
KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。
虚拟主持人要求
您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:
至少有两个独立的主机(推荐3个)位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5(或更高版本)。
如果您有较早版本的ESXi,则必须升级。
每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间
数据库服务器要求
创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。 |
数据库服务器有两个选项。 每一项的要求如下:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB) | 至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB) |
HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC驱动程序42.2.5 | SQL Server JDBC驱动程序4.6 此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例和Always On可用性组)。 |
针对Microsoft SQL Server进行Windows验证的其他要求
如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:
HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称。
HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。
外部连接要求
配置防火墙以允许HDS应用程序的以下连接:
应用程序 | 协议 | 端口 | 应用程序的方向 | 目标位置 |
---|---|---|---|---|
混合数据安全节点 | TCP | 443 | 出站HTTPS和WSS |
|
HDS设置工具 | TCP | 443 | 出站HTTPS |
|
只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。 |
通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:
地区 | 通用标识主机URL |
---|---|
美洲 |
|
欧盟 |
|
加拿大 |
|
代理服务器要求
我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。
透明代理 - Cisco Web 安全设备 (WSA)。
显式代理 - Squid。
用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies。
我们支持显式代理的以下验证类型组合:
不进行 HTTP 或 HTTPS 验证
进行 HTTP 或 HTTPS 基本验证
仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至
wbx2.com
和ciscospark.com
可以解决这个问题。
完成混合数据安全的先决条件
1 | 确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。 | ||
2 | 为HDS部署选择域名(例如, | ||
3 | 准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。 | ||
4 | 根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。 | ||
5 | 为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。 | ||
6 | 设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。 | ||
7 | 为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。
Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。 | ||
8 | 确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。 | ||
9 | 在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080. | ||
10 | 如果要将代理与混合数据安全集成,请确保其符合代理服务器要求。 | ||
11 | 如果您的组织使用目录同步,请在Active Directory中创建一个名为“
|
混合数据安全部署任务流程
准备工作
1 |
将OVA文件下载到本地计算机以供后续使用。 | ||
2 |
使用HDS设置工具为混合数据安全节点创建ISO配置文件。 | ||
3 |
从OVA文件创建虚拟机并执行初始配置,例如网络设置。
| ||
4 |
登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。 | ||
5 |
从使用HDS设置工具创建的ISO配置文件配置VM。 | ||
6 |
如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。 | ||
7 |
向Cisco Webex云注册VM作为混合数据安全节点。 | ||
8 |
完成群集设置。 | ||
9 | 运行试用并进入生产 阶段(下一章) 在开始试用之前,节点会生成警报,指示您的服务尚未激活。 |
下载安装文件
1 | 登录 https://admin.webex.com,然后单击 服务。 | ||||
2 | 在“混合服务”部分,找到混合数据安全卡,然后单击设置。 如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。
| ||||
3 | 选择否表示您尚未设置节点,然后单击下一步。 OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
| ||||
4 | 或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。 |
为HDS主机创建配置ISO
混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。
准备工作
HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。
如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:
描述
变量
无身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
无身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
有身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
有身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:
数据库凭证
证书更新
授权策略更改
如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。
1 | 在机器命令行中输入适用于您环境的命令: 在常规环境中:
在 FedRAMP 环境中:
| ||||||||||||
2 | 要登录 Docker 映像注册表,请输入以下内容:
| ||||||||||||
3 | 在密码提示下,输入以下哈希:
| ||||||||||||
4 | 下载适用于您环境的最新稳定映像: 在常规环境中:
在 FedRAMP 环境中:
| ||||||||||||
5 | 拉取完成后,输入适用于您环境的命令:
容器运行时,您会看到“Express 服务器正在侦听端口 8080。” | ||||||||||||
6 |
使用Web浏览器转至localhost, 该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。 | ||||||||||||
7 | 出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。 | ||||||||||||
8 | 在Setup Tool概述页面上,单击 Get Started。 | ||||||||||||
9 | 在 ISO导入页面上,您有以下选项:
| ||||||||||||
10 | 检查您的X.509证书是否符合X.509证书要求中的要求。
| ||||||||||||
11 | 输入HDS的数据库地址和帐户以访问您的密钥数据存储: | ||||||||||||
12 | 选择 <UNK> LS数据库连接模式:
上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。) | ||||||||||||
13 | 在“系统日志”页面上,配置您的Sy 服务器: | ||||||||||||
14 | (可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:
| ||||||||||||
15 | 单击重置服务帐户密码屏幕上的继续。 服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。 | ||||||||||||
16 | 单击 ISO文件。 将文件保存在易于查找的位置。 | ||||||||||||
17 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||||||||||||
18 | 要关闭设置工具,请键入 |
下一步
备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。
我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。 |
安装HDS主机OVA
1 | 使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。 | ||||||
2 | 选择“文件 > 部署 OVF 模板”。 | ||||||
3 | 在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步。 | ||||||
4 | 在 选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步。 | ||||||
5 | 在 计算资源 页,选择目标计算资源,然后单击 下一步。 运行验证检查。 完成后,将显示模板详细信息。 | ||||||
6 | 验证模板详细信息,然后单击下一步。 | ||||||
7 | 如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步。 | ||||||
8 | 在 存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。 | ||||||
9 | 在 网络 页,从条目列表中选择网络选项以提供所需的VM连接。 | ||||||
10 | 在自定义模板页面上,配置以下网络设置:
如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。
| ||||||
11 | 右键单击节点虚拟机,然后选择 。混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。 疑难解答提示 在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。 |
设置混合数据安全虚拟机
此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。
1 | 在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。 VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
|
2 | 使用以下缺省登录和密码登录并更改凭证: 由于您是首次登录VM,您需要更改管理员密码。 |
3 | 如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。 |
4 | 使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。 |
5 | (可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。 您无需将域设置为与用于获取X.509证书的域匹配。 |
6 | 保存网络配置并重启虚拟机,使更改生效。 |
上传并挂载HDS配置ISO
准备工作
由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。
1 | 从您的计算机上传ISO文件: |
2 | 安装ISO文件: |
下一步
如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。
配置用于代理集成的 HDS 节点
如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。
1 | 输入HDS节点设置URL |
2 | 转至信任库和代理,然后选择一个选项:
按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。 |
3 | 单击上传根证书或最终实体证书,然后导航以选择代理的根证书。 证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除。 |
4 | 单击检查代理连接以测试节点和代理服务器之间的网络连接。 如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式。 |
5 | 在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。 |
6 | 单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装。 节点在几分钟内重启。 |
7 | 节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。 代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。 |
注册集群中的第一个节点
注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。
准备工作
开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。
1 | |
2 | 从屏幕左侧的菜单中选择“服务”。 |
3 | 在“混合服务”部分,找到混合数据安全,然后单击设置。 出现注册混合数据安全节点页。
|
4 | 选择是表示您已设置节点并准备好注册,然后单击下一步。 |
5 | 在第一个字段中,输入要分配混合数据安全节点的集群的名称。 建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯” |
6 | 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步。 此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。 出现一条消息,表示您可以将节点注册到Webex。
|
7 | 单击转至节点。 |
8 | 单击警告消息中的继续。 片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
|
9 | 选中允许访问您的混合数据安全节点复选框,然后单击继续。 您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
|
10 | 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。 在混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。
|
创建和注册更多节点
目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复。 |
准备工作
开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。
1 | 从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。 |
2 | 在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。 |
3 | 在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。 |
4 | 如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。 |
5 | 注册节点。 节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。
|
下一步
试用到生产任务流程
设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。
准备工作
1 | 如果适用,同步 如果您的组织对用户使用目录同步,则必须选择 |
2 |
开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。 |
3 |
检查关键请求是否传递给您的混合数据安全部署。 |
4 |
检查状态并设置警报的电子邮件通知。 |
5 | |
6 | 通过以下操作之一完成试验阶段: |
激活试用
准备工作
如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup
在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。
1 | 登录 https://admin.webex.com,然后选择 服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“服务状态”部分,单击开始试用。 服务状态将更改为试用模式。
|
4 | 单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步,请使用Active Directory管理试用组, |
测试混合数据安全部署
准备工作
设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。
1 | 给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。
| ||
2 | 将消息发送到新空间。 | ||
3 | 检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。 |
监控混合数据安全运行状况
1 | 在 Control Hub中,从屏幕左侧的菜单中选择服务。 |
2 | 在“混合服务”部分,找到混合数据安全,然后单击设置。 出现“混合数据安全设置”页。
|
3 | 在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter。 |
从试用中添加或删除用户
如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。
如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup
;您可以在Control Hub中查看组成员,但无法添加或删除他们。
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。 |
4 | 输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存。 |
从试用过渡到生产
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在Service Status部分,单击 Move to Production。 |
4 | 确认您要将所有用户移至生产模式。 |
在不进入生产阶段的情况下结束试用
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“停用”区域中,单击停用。 |
4 | 确认您要停用服务并结束试用。 |
管理HDS部署
使用此处描述的任务来管理混合数据安全部署。
设置集群升级计划
要设置升级安排:
1 | 登录到 Control Hub。 |
2 | 在“概述”页面上的混合服务下,选择混合数据安全。 |
3 | 在“混合数据安全资源”页上,选择群集。 |
4 | 在右侧“概述”面板中的“集群设置”下,选择集群名称。 |
5 | 在“设置”页面中的“升级”下方,为升级安排选择时间与时区。 注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。 |
更改节点配置
由于过期或其他原因而需要更改 x.509 证书。
我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。
更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。
我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。
创建新配置,以准备新的数据中心。
此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:
软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。
如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。
使用此过程以生成新的配置 ISO 文件并将其应用于集群。
准备工作
HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。
如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:
描述
变量
无身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
无身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
有身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
有身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。
1 | 使用本地计算机上的 Docker 运行 HDS 设置工具。 |
2 | 如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点。 |
3 | 对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点: |
4 | 重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。 |
关闭阻止外部 DNS 解析模式
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。
如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。
准备工作
1 | 在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In。 |
2 | 转至概述(缺省页面)。 启用后,阻止外部 DNS 解析会设置为是。 |
3 | 转至信任库和代理页面。 |
4 | 单击检查代理连接。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。 |
下一步
删除节点
1 | 使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。 |
2 | 删除节点: |
3 | 在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。) 如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。 |
使用待机数据中心进行灾难恢复
混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。
由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:
如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。 | ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 高级设置页面上,在下面添加配置或删除
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
(可选)在HDS配置之后卸载ISO
标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。
您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。
准备工作
将所有HDS节点升级到版本2021.01.22.4720或更高版本。
1 | 关闭其中一个HDS节点。 |
2 | 在vCenter Server 中,选择HDS节点。 |
3 | 选择 存储器ISO文件。 并取消选中 |
4 | 打开HDS节点电源,并确保至少20分钟内没有警报。 |
5 | 对每个HDS节点依次重复。 |
查看警告和故障诊断
如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:
无法创建新空间(无法创建新密钥)
消息和空间标题无法解密:
添加到空间的新用户(无法获取密钥)
空间中使用新客户端的现有用户(无法获取密钥)
只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行
请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。
警告
如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。
预警 | 操作 |
---|---|
本地数据库访问失败。 |
检查数据库错误或本地网络问题。 |
本地数据库连接失败。 |
检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。 |
云服务访问失败。 |
检查节点是否可以按 连接要求 Webex服务器。 |
续订云服务注册。 |
云服务的注册已取消。 正在续订注册。 |
云服务注册已断开。 |
云服务的注册已终止。 服务正在关闭。 |
服务尚未激活。 |
激活试用或完成将试用转入生产阶段。 |
配置的域与服务器证书不匹配。 |
确保服务器证书与配置的服务激活域匹配。 最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。 |
向云服务验证失败。 |
检查服务帐户凭证的准确性和可能的过期时间。 |
打开本地密钥库文件失败。 |
检查本地密钥库文件的完整性和密码准确性。 |
本地服务器证书无效。 |
检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。 |
无法发布指标。 |
检查外部云服务的本地网络访问。 |
/media/configdrive/hds目录不存在。 |
检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。 |
混合数据安全疑难解答
1 | 查看Control Hub中的任何警告并修复您在此处找到的任何项目。 |
2 | 查看来自混合数据安全部署的系统日志服务器输出的活动。 |
3 | 请联系思科支持人员。 |
混合数据安全的已知问题
如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。
当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。
使用OpenSSL生成PKCS12文件
准备工作
OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。
在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。
1 | 当您从CA收到服务器证书时,将其另存为 |
2 | 将证书显示为文本并验证详细信息。
|
3 | 使用文本编辑器创建名为证书捆绑包的文件。
|
4 | 使用友好名称创建。p12文件
|
5 | 检查服务器证书详细信息。 |
下一步
返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12
在 为HDS主机创建配置ISO中为其设置的文件和密码。
在原始证书过期时,您可以重复使用这些文件以请求新证书。 |
HDS节点和云之间的流量
出站指标收集流量
混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。
入站流量
混合数据安全节点从Webex云接收以下类型的入站流量:
来自客户端的加密请求,由加密服务路由
升级到节点软件
配置用于混合数据安全的 Squid 代理
Websocket 无法通过 Squid 代理连接
检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:
),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss:
流量,以便服务正常运行。
Squid 4 和 5
添加 on_unsupported_protocol
指令至 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf
。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新信息和更改信息
日期 | 已作更改 | ||
---|---|---|---|
2023年10月20日 |
| ||
2023年8月7日 |
| ||
2023年5月23日 |
| ||
2022年12月6日 |
| ||
2022年11月23日 | |||
2021 年 10 月 13 日 | Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)。 | ||
2021 年 6 月 24 日 | 注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件。 | ||
2021 年 4 月 30 日 | 已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求。 | ||
2021 年 2 月 24 日 | HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。 | ||
2021 年 2 月 2 日 | HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。 | ||
2021年1月11日 | 添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。 | ||
2020 年 10 月 13 日 | 更新了下载安装文件。 | ||
2020 年 10 月 8 日 | 更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。 | ||
2020 年 8 月 14 日 | 更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置。 | ||
2020 年 8 月 5 日 | 更新了测试混合数据安全部署以了解日志消息的更改。 更新了 主机要求 以删除最大主机数量。 | ||
2020 年 6 月 16 日 | 更新了Control Hub UI中的删除节点更改。 | ||
2020 年 6 月 4 日 | 更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。 | ||
2020 年 5 月 29 日 | 更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。 | ||
2020 年 5 月 5 日 | 更新了 主机要求 ,显示ESXi 6.5的新要求。 | ||
2020 年 4 月 21 日 | 更新了新的美洲CI主机的外部连接要求。 | ||
2020 年 4 月 1 日 | 更新了有关区域CI主机的外部连接要求。 | ||
2020 年 2 月 20 日 | 更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。 | ||
2020年2月4日 | 更新了 服务器要求。 | ||
2019 年 12 月 16 日 | 阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。 | ||
2019 年 11 月 19 日 | 在以下部分中添加了有关阻止的外部DNS解析模式的信息: | ||
2019 年 11 月 8 日 | 现在,您可以在部署OVA时而不是在之后为节点配置网络设置。 相应更新了以下各节:
| ||
2019 年 9 月 6 日 | 将SQL Server标准版添加到 服务器要求。 | ||
2019 年 8 月 29 日 | 添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。 | ||
2019 年 8 月 20 日 | 添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。 要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。 | ||
2019年6月13日 | 将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。 | ||
2019年3月6日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 更改了术语以反映Cisco Spark的更名:
| ||
2018年4月11日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日 |
| ||
2017 年 8 月 18 日 | 首次发布 |
混合数据安全概述
从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。
缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。
安全领域体系结构
Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。
为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。
在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:
客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。
部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。
与其他组织协作
组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。
在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境。
对部署混合数据安全的期望
混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。
要部署混合数据安全,您必须提供:
位于Cisco Webex Teams计划 支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。
完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:
管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。
在HDS部署后,没有将密钥移回云的机制。 |
高层设置过程
本文档介绍了混合数据安全部署的设置和管理:
设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。
混合数据安全部署模型
在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。
在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)
一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)
群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。
当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。
我们只支持每个组织一个集群。
混合数据安全试验模式
设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。
如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。
如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。
用于灾难恢复的备用数据中心
在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。
活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。
活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。 |
设置灾难恢复的备用数据中心
按照以下步骤配置备用数据中心的ISO文件:
准备工作
备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)
确保在主动和被动群集节点的数据库之间启用数据库同步。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。
| ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
配置后 passiveMode
在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode
并将其保存在安全的位置。 该ISO文件的副本 passiveMode
配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。
代理支持
混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。
混合数据安全节点支持以下代理选项:
无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:
代理 IP/FQDN - 可用于访问代理机器的地址。
代理端口 - 代理用来侦听代理流量的端口号。
代理协议 - 根据代理服务器支持的内容,选择以下协议之一:
HTTP - 查看和控制客户端发送的所有请求。
HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。
验证类型 - 从以下验证类型中进行选择:
无 - 无需进一步验证。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。
仅当您选择 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
混合数据安全节点和代理的示例
此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。
阻止外部 DNS 解析模式(显式代理配置)
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。
混合数据安全要求
Cisco Webex许可证要求
要部署混合数据安全:
您必须拥有Pro Pack for Cisco Webex Control Hub。(请参阅 https://www.cisco.com/go/pro-pack。)
Docker Desktop要求
安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。
X.509证书要求
证书链必须满足以下要求:
要求 | 详细信息 |
---|---|
| 默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs。 |
| CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, CN不能包含*(通配符)。 CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。 使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。 |
| KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。 |
| 您可以使用转换器(例如OpenSSL)来更改证书的格式。 运行HDS设置工具时,您需要输入密码。 |
KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。
虚拟主持人要求
您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:
至少有两个独立的主机(推荐3个)位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5(或更高版本)。
如果您有较早版本的ESXi,则必须升级。
每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间
数据库服务器要求
创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。 |
数据库服务器有两个选项。 每一项的要求如下:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB) | 至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB) |
HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC驱动程序42.2.5 | SQL Server JDBC驱动程序4.6 此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例和Always On可用性组)。 |
针对Microsoft SQL Server进行Windows验证的其他要求
如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:
HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称。
HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。
外部连接要求
配置防火墙以允许HDS应用程序的以下连接:
应用程序 | 协议 | 端口 | 应用程序的方向 | 目标位置 |
---|---|---|---|---|
混合数据安全节点 | TCP | 443 | 出站HTTPS和WSS |
|
HDS设置工具 | TCP | 443 | 出站HTTPS |
|
只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。 |
通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:
地区 | 通用标识主机URL |
---|---|
美洲 |
|
欧盟 |
|
加拿大 |
|
代理服务器要求
我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。
透明代理 - Cisco Web 安全设备 (WSA)。
显式代理 - Squid。
用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies。
我们支持显式代理的以下验证类型组合:
不进行 HTTP 或 HTTPS 验证
进行 HTTP 或 HTTPS 基本验证
仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至
wbx2.com
和ciscospark.com
可以解决这个问题。
完成混合数据安全的先决条件
1 | 确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。 | ||
2 | 为HDS部署选择域名(例如, | ||
3 | 准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。 | ||
4 | 根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。 | ||
5 | 为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。 | ||
6 | 设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。 | ||
7 | 为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。
Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。 | ||
8 | 确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。 | ||
9 | 在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080. | ||
10 | 如果要将代理与混合数据安全集成,请确保其符合代理服务器要求。 | ||
11 | 如果您的组织使用目录同步,请在Active Directory中创建一个名为“
|
混合数据安全部署任务流程
准备工作
1 |
将OVA文件下载到本地计算机以供后续使用。 | ||
2 |
使用HDS设置工具为混合数据安全节点创建ISO配置文件。 | ||
3 |
从OVA文件创建虚拟机并执行初始配置,例如网络设置。
| ||
4 |
登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。 | ||
5 |
从使用HDS设置工具创建的ISO配置文件配置VM。 | ||
6 |
如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。 | ||
7 |
向Cisco Webex云注册VM作为混合数据安全节点。 | ||
8 |
完成群集设置。 | ||
9 | 运行试用并进入生产 阶段(下一章) 在开始试用之前,节点会生成警报,指示您的服务尚未激活。 |
下载安装文件
1 | 登录 https://admin.webex.com,然后单击 服务。 | ||||
2 | 在“混合服务”部分,找到混合数据安全卡,然后单击设置。 如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。
| ||||
3 | 选择否表示您尚未设置节点,然后单击下一步。 OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
| ||||
4 | 或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。 |
为HDS主机创建配置ISO
混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。
准备工作
HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。
如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:
描述
变量
无身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
无身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
有身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
有身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:
数据库凭证
证书更新
授权策略更改
如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。
1 | 在机器命令行中输入适用于您环境的命令: 在常规环境中:
在 FedRAMP 环境中:
| ||||||||||||
2 | 要登录 Docker 映像注册表,请输入以下内容:
| ||||||||||||
3 | 在密码提示下,输入以下哈希:
| ||||||||||||
4 | 下载适用于您环境的最新稳定映像: 在常规环境中:
在 FedRAMP 环境中:
| ||||||||||||
5 | 拉取完成后,输入适用于您环境的命令:
容器运行时,您会看到“Express 服务器正在侦听端口 8080。” | ||||||||||||
6 |
使用Web浏览器转至localhost, 该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。 | ||||||||||||
7 | 出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。 | ||||||||||||
8 | 在Setup Tool概述页面上,单击 Get Started。 | ||||||||||||
9 | 在 ISO导入页面上,您有以下选项:
| ||||||||||||
10 | 检查您的X.509证书是否符合X.509证书要求中的要求。
| ||||||||||||
11 | 输入HDS的数据库地址和帐户以访问您的密钥数据存储: | ||||||||||||
12 | 选择 <UNK> LS数据库连接模式:
上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。) | ||||||||||||
13 | 在“系统日志”页面上,配置您的Sy 服务器: | ||||||||||||
14 | (可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:
| ||||||||||||
15 | 单击重置服务帐户密码屏幕上的继续。 服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。 | ||||||||||||
16 | 单击 ISO文件。 将文件保存在易于查找的位置。 | ||||||||||||
17 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||||||||||||
18 | 要关闭设置工具,请键入 |
下一步
备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。
我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。 |
安装HDS主机OVA
1 | 使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。 | ||||||
2 | 选择“文件 > 部署 OVF 模板”。 | ||||||
3 | 在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步。 | ||||||
4 | 在 选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步。 | ||||||
5 | 在 计算资源 页,选择目标计算资源,然后单击 下一步。 运行验证检查。 完成后,将显示模板详细信息。 | ||||||
6 | 验证模板详细信息,然后单击下一步。 | ||||||
7 | 如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步。 | ||||||
8 | 在 存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。 | ||||||
9 | 在 网络 页,从条目列表中选择网络选项以提供所需的VM连接。 | ||||||
10 | 在自定义模板页面上,配置以下网络设置:
如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。
| ||||||
11 | 右键单击节点虚拟机,然后选择 。混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。 疑难解答提示 在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。 |
设置混合数据安全虚拟机
此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。
1 | 在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。 VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
|
2 | 使用以下缺省登录和密码登录并更改凭证: 由于您是首次登录VM,您需要更改管理员密码。 |
3 | 如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。 |
4 | 使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。 |
5 | (可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。 您无需将域设置为与用于获取X.509证书的域匹配。 |
6 | 保存网络配置并重启虚拟机,使更改生效。 |
上传并挂载HDS配置ISO
准备工作
由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。
1 | 从您的计算机上传ISO文件: |
2 | 安装ISO文件: |
下一步
如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。
配置用于代理集成的 HDS 节点
如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。
1 | 输入HDS节点设置URL |
2 | 转至信任库和代理,然后选择一个选项:
按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。 |
3 | 单击上传根证书或最终实体证书,然后导航以选择代理的根证书。 证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除。 |
4 | 单击检查代理连接以测试节点和代理服务器之间的网络连接。 如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式。 |
5 | 在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。 |
6 | 单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装。 节点在几分钟内重启。 |
7 | 节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。 代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。 |
注册集群中的第一个节点
注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。
准备工作
开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。
1 | |
2 | 从屏幕左侧的菜单中选择“服务”。 |
3 | 在“混合服务”部分,找到混合数据安全,然后单击设置。 出现注册混合数据安全节点页。
|
4 | 选择是表示您已设置节点并准备好注册,然后单击下一步。 |
5 | 在第一个字段中,输入要分配混合数据安全节点的集群的名称。 建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯” |
6 | 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步。 此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。 出现一条消息,表示您可以将节点注册到Webex。
|
7 | 单击转至节点。 |
8 | 单击警告消息中的继续。 片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
|
9 | 选中允许访问您的混合数据安全节点复选框,然后单击继续。 您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
|
10 | 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。 在混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。
|
创建和注册更多节点
目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复。 |
准备工作
开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。
1 | 从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。 |
2 | 在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。 |
3 | 在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。 |
4 | 如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。 |
5 | 注册节点。 节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。
|
下一步
试用到生产任务流程
设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。
准备工作
1 | 如果适用,同步 如果您的组织对用户使用目录同步,则必须选择 |
2 |
开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。 |
3 |
检查关键请求是否传递给您的混合数据安全部署。 |
4 |
检查状态并设置警报的电子邮件通知。 |
5 | |
6 | 通过以下操作之一完成试验阶段: |
激活试用
准备工作
如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup
在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。
1 | 登录 https://admin.webex.com,然后选择 服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“服务状态”部分,单击开始试用。 服务状态将更改为试用模式。
|
4 | 单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步,请使用Active Directory管理试用组, |
测试混合数据安全部署
准备工作
设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。
1 | 给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。
| ||
2 | 将消息发送到新空间。 | ||
3 | 检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。 |
监控混合数据安全运行状况
1 | 在 Control Hub中,从屏幕左侧的菜单中选择服务。 |
2 | 在“混合服务”部分,找到混合数据安全,然后单击设置。 出现“混合数据安全设置”页。
|
3 | 在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter。 |
从试用中添加或删除用户
如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。
如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup
;您可以在Control Hub中查看组成员,但无法添加或删除他们。
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。 |
4 | 输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存。 |
从试用过渡到生产
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在Service Status部分,单击 Move to Production。 |
4 | 确认您要将所有用户移至生产模式。 |
在不进入生产阶段的情况下结束试用
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“停用”区域中,单击停用。 |
4 | 确认您要停用服务并结束试用。 |
管理HDS部署
使用此处描述的任务来管理混合数据安全部署。
设置集群升级计划
要设置升级安排:
1 | 登录到 Control Hub。 |
2 | 在“概述”页面上的混合服务下,选择混合数据安全。 |
3 | 在“混合数据安全资源”页上,选择群集。 |
4 | 在右侧“概述”面板中的“集群设置”下,选择集群名称。 |
5 | 在“设置”页面中的“升级”下方,为升级安排选择时间与时区。 注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。 |
更改节点配置
由于过期或其他原因而需要更改 x.509 证书。
我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。
更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。
我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。
创建新配置,以准备新的数据中心。
此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:
软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。
如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。
使用此过程以生成新的配置 ISO 文件并将其应用于集群。
准备工作
HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。
如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:
描述
变量
无身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
无身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
有身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
有身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。
1 | 使用本地计算机上的 Docker 运行 HDS 设置工具。 |
2 | 如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点。 |
3 | 对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点: |
4 | 重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。 |
关闭阻止外部 DNS 解析模式
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。
如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。
准备工作
1 | 在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In。 |
2 | 转至概述(缺省页面)。 启用后,阻止外部 DNS 解析会设置为是。 |
3 | 转至信任库和代理页面。 |
4 | 单击检查代理连接。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。 |
下一步
删除节点
1 | 使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。 |
2 | 删除节点: |
3 | 在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。) 如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。 |
使用待机数据中心进行灾难恢复
混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。
由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:
如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。 | ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 高级设置页面上,在下面添加配置或删除
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
(可选)在HDS配置之后卸载ISO
标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。
您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。
准备工作
将所有HDS节点升级到版本2021.01.22.4720或更高版本。
1 | 关闭其中一个HDS节点。 |
2 | 在vCenter Server 中,选择HDS节点。 |
3 | 选择 存储器ISO文件。 并取消选中 |
4 | 打开HDS节点电源,并确保至少20分钟内没有警报。 |
5 | 对每个HDS节点依次重复。 |
查看警告和故障诊断
如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:
无法创建新空间(无法创建新密钥)
消息和空间标题无法解密:
添加到空间的新用户(无法获取密钥)
空间中使用新客户端的现有用户(无法获取密钥)
只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行
请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。
警告
如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。
预警 | 操作 |
---|---|
本地数据库访问失败。 |
检查数据库错误或本地网络问题。 |
本地数据库连接失败。 |
检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。 |
云服务访问失败。 |
检查节点是否可以按 连接要求 Webex服务器。 |
续订云服务注册。 |
云服务的注册已取消。 正在续订注册。 |
云服务注册已断开。 |
云服务的注册已终止。 服务正在关闭。 |
服务尚未激活。 |
激活试用或完成将试用转入生产阶段。 |
配置的域与服务器证书不匹配。 |
确保服务器证书与配置的服务激活域匹配。 最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。 |
向云服务验证失败。 |
检查服务帐户凭证的准确性和可能的过期时间。 |
打开本地密钥库文件失败。 |
检查本地密钥库文件的完整性和密码准确性。 |
本地服务器证书无效。 |
检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。 |
无法发布指标。 |
检查外部云服务的本地网络访问。 |
/media/configdrive/hds目录不存在。 |
检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。 |
混合数据安全疑难解答
1 | 查看Control Hub中的任何警告并修复您在此处找到的任何项目。 |
2 | 查看来自混合数据安全部署的系统日志服务器输出的活动。 |
3 | 请联系思科支持人员。 |
混合数据安全的已知问题
如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。
当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。
使用OpenSSL生成PKCS12文件
准备工作
OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。
在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。
1 | 当您从CA收到服务器证书时,将其另存为 |
2 | 将证书显示为文本并验证详细信息。
|
3 | 使用文本编辑器创建名为证书捆绑包的文件。
|
4 | 使用友好名称创建。p12文件
|
5 | 检查服务器证书详细信息。 |
下一步
返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12
在 为HDS主机创建配置ISO中为其设置的文件和密码。
在原始证书过期时,您可以重复使用这些文件以请求新证书。 |
HDS节点和云之间的流量
出站指标收集流量
混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。
入站流量
混合数据安全节点从Webex云接收以下类型的入站流量:
来自客户端的加密请求,由加密服务路由
升级到节点软件
配置用于混合数据安全的 Squid 代理
Websocket 无法通过 Squid 代理连接
检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:
),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss:
流量,以便服务正常运行。
Squid 4 和 5
添加 on_unsupported_protocol
指令至 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf
。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新信息和更改信息
日期 | 已作更改 | ||
---|---|---|---|
2023年10月20日 |
| ||
2023年8月7日 |
| ||
2023年5月23日 |
| ||
2022年12月6日 |
| ||
2022年11月23日 | |||
2021 年 10 月 13 日 | Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)。 | ||
2021 年 6 月 24 日 | 注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件。 | ||
2021 年 4 月 30 日 | 已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求。 | ||
2021 年 2 月 24 日 | HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。 | ||
2021 年 2 月 2 日 | HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。 | ||
2021年1月11日 | 添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。 | ||
2020 年 10 月 13 日 | 更新了下载安装文件。 | ||
2020 年 10 月 8 日 | 更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。 | ||
2020 年 8 月 14 日 | 更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置。 | ||
2020 年 8 月 5 日 | 更新了测试混合数据安全部署以了解日志消息的更改。 更新了 主机要求 以删除最大主机数量。 | ||
2020 年 6 月 16 日 | 更新了Control Hub UI中的删除节点更改。 | ||
2020 年 6 月 4 日 | 更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。 | ||
2020 年 5 月 29 日 | 更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。 | ||
2020 年 5 月 5 日 | 更新了 主机要求 ,显示ESXi 6.5的新要求。 | ||
2020 年 4 月 21 日 | 更新了新的美洲CI主机的外部连接要求。 | ||
2020 年 4 月 1 日 | 更新了有关区域CI主机的外部连接要求。 | ||
2020 年 2 月 20 日 | 更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。 | ||
2020年2月4日 | 更新了 服务器要求。 | ||
2019 年 12 月 16 日 | 阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。 | ||
2019 年 11 月 19 日 | 在以下部分中添加了有关阻止的外部DNS解析模式的信息: | ||
2019 年 11 月 8 日 | 现在,您可以在部署OVA时而不是在之后为节点配置网络设置。 相应更新了以下各节:
| ||
2019 年 9 月 6 日 | 将SQL Server标准版添加到 服务器要求。 | ||
2019 年 8 月 29 日 | 添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。 | ||
2019 年 8 月 20 日 | 添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。 要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。 | ||
2019年6月13日 | 将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。 | ||
2019年3月6日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 更改了术语以反映Cisco Spark的更名:
| ||
2018年4月11日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日 |
| ||
2017 年 8 月 18 日 | 首次发布 |
混合数据安全概述
从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。
缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。
安全领域体系结构
Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。
为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。
在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:
客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。
部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。
与其他组织协作
组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。
在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境。
对部署混合数据安全的期望
混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。
要部署混合数据安全,您必须提供:
位于Cisco Webex Teams计划 支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。
完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:
管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。
在HDS部署后,没有将密钥移回云的机制。 |
高层设置过程
本文档介绍了混合数据安全部署的设置和管理:
设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。
混合数据安全部署模型
在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。
在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)
一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)
群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。
当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。
我们只支持每个组织一个集群。
混合数据安全试验模式
设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。
如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。
如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。
用于灾难恢复的备用数据中心
在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。
活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。
活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。 |
设置灾难恢复的备用数据中心
按照以下步骤配置备用数据中心的ISO文件:
准备工作
备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)
确保在主动和被动群集节点的数据库之间启用数据库同步。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。
| ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
配置后 passiveMode
在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode
并将其保存在安全的位置。 该ISO文件的副本 passiveMode
配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。
代理支持
混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。
混合数据安全节点支持以下代理选项:
无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:
代理 IP/FQDN - 可用于访问代理机器的地址。
代理端口 - 代理用来侦听代理流量的端口号。
代理协议 - 根据代理服务器支持的内容,选择以下协议之一:
HTTP - 查看和控制客户端发送的所有请求。
HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。
验证类型 - 从以下验证类型中进行选择:
无 - 无需进一步验证。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。
仅当您选择 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
混合数据安全节点和代理的示例
此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。
阻止外部 DNS 解析模式(显式代理配置)
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。
混合数据安全要求
Cisco Webex许可证要求
要部署混合数据安全:
您必须拥有Pro Pack for Cisco Webex Control Hub。(请参阅 https://www.cisco.com/go/pro-pack。)
Docker Desktop要求
安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。
X.509证书要求
证书链必须满足以下要求:
要求 | 详细信息 |
---|---|
| 默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs。 |
| CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, CN不能包含*(通配符)。 CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。 使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。 |
| KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。 |
| 您可以使用转换器(例如OpenSSL)来更改证书的格式。 运行HDS设置工具时,您需要输入密码。 |
KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。
虚拟主持人要求
您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:
至少有两个独立的主机(推荐3个)位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5(或更高版本)。
如果您有较早版本的ESXi,则必须升级。
每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间
数据库服务器要求
创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。 |
数据库服务器有两个选项。 每一项的要求如下:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB) | 至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB) |
HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC驱动程序42.2.5 | SQL Server JDBC驱动程序4.6 此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例和Always On可用性组)。 |
针对Microsoft SQL Server进行Windows验证的其他要求
如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:
HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称。
HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。
外部连接要求
配置防火墙以允许HDS应用程序的以下连接:
应用程序 | 协议 | 端口 | 应用程序的方向 | 目标位置 |
---|---|---|---|---|
混合数据安全节点 | TCP | 443 | 出站HTTPS和WSS |
|
HDS设置工具 | TCP | 443 | 出站HTTPS |
|
只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。 |
通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:
地区 | 通用标识主机URL |
---|---|
美洲 |
|
欧盟 |
|
加拿大 |
|
代理服务器要求
我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。
透明代理 - Cisco Web 安全设备 (WSA)。
显式代理 - Squid。
用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies。
我们支持显式代理的以下验证类型组合:
不进行 HTTP 或 HTTPS 验证
进行 HTTP 或 HTTPS 基本验证
仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至
wbx2.com
和ciscospark.com
可以解决这个问题。
完成混合数据安全的先决条件
1 | 确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。 | ||
2 | 为HDS部署选择域名(例如, | ||
3 | 准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。 | ||
4 | 根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。 | ||
5 | 为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。 | ||
6 | 设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。 | ||
7 | 为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。
Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。 | ||
8 | 确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。 | ||
9 | 在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080. | ||
10 | 如果要将代理与混合数据安全集成,请确保其符合代理服务器要求。 | ||
11 | 如果您的组织使用目录同步,请在Active Directory中创建一个名为“
|
混合数据安全部署任务流程
准备工作
1 |
将OVA文件下载到本地计算机以供后续使用。 | ||
2 |
使用HDS设置工具为混合数据安全节点创建ISO配置文件。 | ||
3 |
从OVA文件创建虚拟机并执行初始配置,例如网络设置。
| ||
4 |
登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。 | ||
5 |
从使用HDS设置工具创建的ISO配置文件配置VM。 | ||
6 |
如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。 | ||
7 |
向Cisco Webex云注册VM作为混合数据安全节点。 | ||
8 |
完成群集设置。 | ||
9 | 运行试用并进入生产 阶段(下一章) 在开始试用之前,节点会生成警报,指示您的服务尚未激活。 |
下载安装文件
1 | 登录 https://admin.webex.com,然后单击 服务。 | ||||
2 | 在“混合服务”部分,找到混合数据安全卡,然后单击设置。 如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。
| ||||
3 | 选择否表示您尚未设置节点,然后单击下一步。 OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
| ||||
4 | 或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。 |
为HDS主机创建配置ISO
混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。
准备工作
HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。
如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:
描述
变量
无身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
无身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
有身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
有身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:
数据库凭证
证书更新
授权策略更改
如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。
1 | 在机器命令行中输入适用于您环境的命令: 在常规环境中:
在 FedRAMP 环境中:
| ||||||||||||
2 | 要登录 Docker 映像注册表,请输入以下内容:
| ||||||||||||
3 | 在密码提示下,输入以下哈希:
| ||||||||||||
4 | 下载适用于您环境的最新稳定映像: 在常规环境中:
在 FedRAMP 环境中:
| ||||||||||||
5 | 拉取完成后,输入适用于您环境的命令:
容器运行时,您会看到“Express 服务器正在侦听端口 8080。” | ||||||||||||
6 |
使用Web浏览器转至localhost, 该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。 | ||||||||||||
7 | 出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。 | ||||||||||||
8 | 在Setup Tool概述页面上,单击 Get Started。 | ||||||||||||
9 | 在 ISO导入页面上,您有以下选项:
| ||||||||||||
10 | 检查您的X.509证书是否符合X.509证书要求中的要求。
| ||||||||||||
11 | 输入HDS的数据库地址和帐户以访问您的密钥数据存储: | ||||||||||||
12 | 选择 <UNK> LS数据库连接模式:
上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。) | ||||||||||||
13 | 在“系统日志”页面上,配置您的Sy 服务器: | ||||||||||||
14 | (可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:
| ||||||||||||
15 | 单击重置服务帐户密码屏幕上的继续。 服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。 | ||||||||||||
16 | 单击 ISO文件。 将文件保存在易于查找的位置。 | ||||||||||||
17 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||||||||||||
18 | 要关闭设置工具,请键入 |
下一步
备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。
我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。 |
安装HDS主机OVA
1 | 使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。 | ||||||
2 | 选择“文件 > 部署 OVF 模板”。 | ||||||
3 | 在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步。 | ||||||
4 | 在 选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步。 | ||||||
5 | 在 计算资源 页,选择目标计算资源,然后单击 下一步。 运行验证检查。 完成后,将显示模板详细信息。 | ||||||
6 | 验证模板详细信息,然后单击下一步。 | ||||||
7 | 如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步。 | ||||||
8 | 在 存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。 | ||||||
9 | 在 网络 页,从条目列表中选择网络选项以提供所需的VM连接。 | ||||||
10 | 在自定义模板页面上,配置以下网络设置:
如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。
| ||||||
11 | 右键单击节点虚拟机,然后选择 。混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。 疑难解答提示 在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。 |
设置混合数据安全虚拟机
此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。
1 | 在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。 VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
|
2 | 使用以下缺省登录和密码登录并更改凭证: 由于您是首次登录VM,您需要更改管理员密码。 |
3 | 如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。 |
4 | 使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。 |
5 | (可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。 您无需将域设置为与用于获取X.509证书的域匹配。 |
6 | 保存网络配置并重启虚拟机,使更改生效。 |
上传并挂载HDS配置ISO
准备工作
由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。
1 | 从您的计算机上传ISO文件: |
2 | 安装ISO文件: |
下一步
如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。
配置用于代理集成的 HDS 节点
如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。
1 | 输入HDS节点设置URL |
2 | 转至信任库和代理,然后选择一个选项:
按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。 |
3 | 单击上传根证书或最终实体证书,然后导航以选择代理的根证书。 证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除。 |
4 | 单击检查代理连接以测试节点和代理服务器之间的网络连接。 如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式。 |
5 | 在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。 |
6 | 单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装。 节点在几分钟内重启。 |
7 | 节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。 代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。 |
注册集群中的第一个节点
注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。
准备工作
开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。
1 | |
2 | 从屏幕左侧的菜单中选择“服务”。 |
3 | 在“混合服务”部分,找到混合数据安全,然后单击设置。 出现注册混合数据安全节点页。
|
4 | 选择是表示您已设置节点并准备好注册,然后单击下一步。 |
5 | 在第一个字段中,输入要分配混合数据安全节点的集群的名称。 建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯” |
6 | 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步。 此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。 出现一条消息,表示您可以将节点注册到Webex。
|
7 | 单击转至节点。 |
8 | 单击警告消息中的继续。 片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
|
9 | 选中允许访问您的混合数据安全节点复选框,然后单击继续。 您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
|
10 | 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。 在混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。
|
创建和注册更多节点
目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复。 |
准备工作
开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。
1 | 从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。 |
2 | 在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。 |
3 | 在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。 |
4 | 如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。 |
5 | 注册节点。 节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。
|
下一步
试用到生产任务流程
设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。
准备工作
1 | 如果适用,同步 如果您的组织对用户使用目录同步,则必须选择 |
2 |
开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。 |
3 |
检查关键请求是否传递给您的混合数据安全部署。 |
4 |
检查状态并设置警报的电子邮件通知。 |
5 | |
6 | 通过以下操作之一完成试验阶段: |
激活试用
准备工作
如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup
在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。
1 | 登录 https://admin.webex.com,然后选择 服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“服务状态”部分,单击开始试用。 服务状态将更改为试用模式。
|
4 | 单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步,请使用Active Directory管理试用组, |
测试混合数据安全部署
准备工作
设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。
1 | 给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。
| ||
2 | 将消息发送到新空间。 | ||
3 | 检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。 |
监控混合数据安全运行状况
1 | 在 Control Hub中,从屏幕左侧的菜单中选择服务。 |
2 | 在“混合服务”部分,找到混合数据安全,然后单击设置。 出现“混合数据安全设置”页。
|
3 | 在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter。 |
从试用中添加或删除用户
如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。
如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup
;您可以在Control Hub中查看组成员,但无法添加或删除他们。
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。 |
4 | 输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存。 |
从试用过渡到生产
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在Service Status部分,单击 Move to Production。 |
4 | 确认您要将所有用户移至生产模式。 |
在不进入生产阶段的情况下结束试用
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“停用”区域中,单击停用。 |
4 | 确认您要停用服务并结束试用。 |
管理HDS部署
使用此处描述的任务来管理混合数据安全部署。
设置集群升级计划
要设置升级安排:
1 | 登录到 Control Hub。 |
2 | 在“概述”页面上的混合服务下,选择混合数据安全。 |
3 | 在“混合数据安全资源”页上,选择群集。 |
4 | 在右侧“概述”面板中的“集群设置”下,选择集群名称。 |
5 | 在“设置”页面中的“升级”下方,为升级安排选择时间与时区。 注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。 |
更改节点配置
由于过期或其他原因而需要更改 x.509 证书。
我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。
更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。
我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。
创建新配置,以准备新的数据中心。
此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:
软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。
如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。
使用此过程以生成新的配置 ISO 文件并将其应用于集群。
准备工作
HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。
如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:
描述
变量
无身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
无身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
有身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
有身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。
1 | 使用本地计算机上的 Docker 运行 HDS 设置工具。 |
2 | 如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点。 |
3 | 对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点: |
4 | 重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。 |
关闭阻止外部 DNS 解析模式
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。
如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。
准备工作
1 | 在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In。 |
2 | 转至概述(缺省页面)。 启用后,阻止外部 DNS 解析会设置为是。 |
3 | 转至信任库和代理页面。 |
4 | 单击检查代理连接。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。 |
下一步
删除节点
1 | 使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。 |
2 | 删除节点: |
3 | 在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。) 如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。 |
使用待机数据中心进行灾难恢复
混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。
由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:
如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。 | ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 高级设置页面上,在下面添加配置或删除
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
(可选)在HDS配置之后卸载ISO
标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。
您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。
准备工作
将所有HDS节点升级到版本2021.01.22.4720或更高版本。
1 | 关闭其中一个HDS节点。 |
2 | 在vCenter Server 中,选择HDS节点。 |
3 | 选择 存储器ISO文件。 并取消选中 |
4 | 打开HDS节点电源,并确保至少20分钟内没有警报。 |
5 | 对每个HDS节点依次重复。 |
查看警告和故障诊断
如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:
无法创建新空间(无法创建新密钥)
消息和空间标题无法解密:
添加到空间的新用户(无法获取密钥)
空间中使用新客户端的现有用户(无法获取密钥)
只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行
请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。
警告
如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。
预警 | 操作 |
---|---|
本地数据库访问失败。 |
检查数据库错误或本地网络问题。 |
本地数据库连接失败。 |
检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。 |
云服务访问失败。 |
检查节点是否可以按 连接要求 Webex服务器。 |
续订云服务注册。 |
云服务的注册已取消。 正在续订注册。 |
云服务注册已断开。 |
云服务的注册已终止。 服务正在关闭。 |
服务尚未激活。 |
激活试用或完成将试用转入生产阶段。 |
配置的域与服务器证书不匹配。 |
确保服务器证书与配置的服务激活域匹配。 最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。 |
向云服务验证失败。 |
检查服务帐户凭证的准确性和可能的过期时间。 |
打开本地密钥库文件失败。 |
检查本地密钥库文件的完整性和密码准确性。 |
本地服务器证书无效。 |
检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。 |
无法发布指标。 |
检查外部云服务的本地网络访问。 |
/media/configdrive/hds目录不存在。 |
检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。 |
混合数据安全疑难解答
1 | 查看Control Hub中的任何警告并修复您在此处找到的任何项目。 |
2 | 查看来自混合数据安全部署的系统日志服务器输出的活动。 |
3 | 请联系思科支持人员。 |
混合数据安全的已知问题
如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。
当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。
使用OpenSSL生成PKCS12文件
准备工作
OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。
在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。
1 | 当您从CA收到服务器证书时,将其另存为 |
2 | 将证书显示为文本并验证详细信息。
|
3 | 使用文本编辑器创建名为证书捆绑包的文件。
|
4 | 使用友好名称创建。p12文件
|
5 | 检查服务器证书详细信息。 |
下一步
返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12
在 为HDS主机创建配置ISO中为其设置的文件和密码。
在原始证书过期时,您可以重复使用这些文件以请求新证书。 |
HDS节点和云之间的流量
出站指标收集流量
混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。
入站流量
混合数据安全节点从Webex云接收以下类型的入站流量:
来自客户端的加密请求,由加密服务路由
升级到节点软件
配置用于混合数据安全的 Squid 代理
Websocket 无法通过 Squid 代理连接
检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:
),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss:
流量,以便服务正常运行。
Squid 4 和 5
添加 on_unsupported_protocol
指令至 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf
。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新信息和更改信息
日期 | 已作更改 | ||
---|---|---|---|
2023年10月20日 |
| ||
2023年8月7日 |
| ||
2023年5月23日 |
| ||
2022年12月6日 |
| ||
2022年11月23日 | |||
2021 年 10 月 13 日 | Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)。 | ||
2021 年 6 月 24 日 | 注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件。 | ||
2021 年 4 月 30 日 | 已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求。 | ||
2021 年 2 月 24 日 | HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。 | ||
2021 年 2 月 2 日 | HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。 | ||
2021年1月11日 | 添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。 | ||
2020 年 10 月 13 日 | 更新了下载安装文件。 | ||
2020 年 10 月 8 日 | 更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。 | ||
2020 年 8 月 14 日 | 更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置。 | ||
2020 年 8 月 5 日 | 更新了测试混合数据安全部署以了解日志消息的更改。 更新了 主机要求 以删除最大主机数量。 | ||
2020 年 6 月 16 日 | 更新了Control Hub UI中的删除节点更改。 | ||
2020 年 6 月 4 日 | 更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。 | ||
2020 年 5 月 29 日 | 更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。 | ||
2020 年 5 月 5 日 | 更新了 主机要求 ,显示ESXi 6.5的新要求。 | ||
2020 年 4 月 21 日 | 更新了新的美洲CI主机的外部连接要求。 | ||
2020 年 4 月 1 日 | 更新了有关区域CI主机的外部连接要求。 | ||
2020 年 2 月 20 日 | 更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。 | ||
2020年2月4日 | 更新了 服务器要求。 | ||
2019 年 12 月 16 日 | 阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。 | ||
2019 年 11 月 19 日 | 在以下部分中添加了有关阻止的外部DNS解析模式的信息: | ||
2019 年 11 月 8 日 | 现在,您可以在部署OVA时而不是在之后为节点配置网络设置。 相应更新了以下各节:
| ||
2019 年 9 月 6 日 | 将SQL Server标准版添加到 服务器要求。 | ||
2019 年 8 月 29 日 | 添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。 | ||
2019 年 8 月 20 日 | 添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。 要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。 | ||
2019年6月13日 | 将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。 | ||
2019年3月6日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 更改了术语以反映Cisco Spark的更名:
| ||
2018年4月11日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日 |
| ||
2017 年 8 月 18 日 | 首次发布 |
混合数据安全概述
从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。
缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。
安全领域体系结构
Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。
为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。
在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:
客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。
部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。
与其他组织协作
组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。
在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境。
对部署混合数据安全的期望
混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。
要部署混合数据安全,您必须提供:
位于Cisco Webex Teams计划 支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。
完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:
管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。
在HDS部署后,没有将密钥移回云的机制。 |
高层设置过程
本文档介绍了混合数据安全部署的设置和管理:
设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。
混合数据安全部署模型
在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。
在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)
一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)
群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。
当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。
我们只支持每个组织一个集群。
混合数据安全试验模式
设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。
如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。
如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。
用于灾难恢复的备用数据中心
在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。
活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。
活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。 |
设置灾难恢复的备用数据中心
按照以下步骤配置备用数据中心的ISO文件:
准备工作
备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)
确保在主动和被动群集节点的数据库之间启用数据库同步。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。
| ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
配置后 passiveMode
在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode
并将其保存在安全的位置。 该ISO文件的副本 passiveMode
配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。
代理支持
混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。
混合数据安全节点支持以下代理选项:
无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:
代理 IP/FQDN - 可用于访问代理机器的地址。
代理端口 - 代理用来侦听代理流量的端口号。
代理协议 - 根据代理服务器支持的内容,选择以下协议之一:
HTTP - 查看和控制客户端发送的所有请求。
HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。
验证类型 - 从以下验证类型中进行选择:
无 - 无需进一步验证。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。
在选择 HTTP 或 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。
仅当您选择 HTTPS 作为代理协议时可用。
要求您在每个节点上输入用户名和密码。
混合数据安全节点和代理的示例
此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。
阻止外部 DNS 解析模式(显式代理配置)
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。
混合数据安全要求
Cisco Webex许可证要求
要部署混合数据安全:
您必须拥有Pro Pack for Cisco Webex Control Hub。(请参阅 https://www.cisco.com/go/pro-pack。)
Docker Desktop要求
安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。
X.509证书要求
证书链必须满足以下要求:
要求 | 详细信息 |
---|---|
| 默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs。 |
| CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, CN不能包含*(通配符)。 CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。 使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。 |
| KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。 |
| 您可以使用转换器(例如OpenSSL)来更改证书的格式。 运行HDS设置工具时,您需要输入密码。 |
KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。
虚拟主持人要求
您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:
至少有两个独立的主机(推荐3个)位于同一个安全数据中心
已安装并正在运行的VMware ESXi 6。5(或更高版本)。
如果您有较早版本的ESXi,则必须升级。
每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间
数据库服务器要求
创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。 |
数据库服务器有两个选项。 每一项的要求如下:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB) | 至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB) |
HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC驱动程序42.2.5 | SQL Server JDBC驱动程序4.6 此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例和Always On可用性组)。 |
针对Microsoft SQL Server进行Windows验证的其他要求
如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:
HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。
提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。
您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。
您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称。
HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。
外部连接要求
配置防火墙以允许HDS应用程序的以下连接:
应用程序 | 协议 | 端口 | 应用程序的方向 | 目标位置 |
---|---|---|---|---|
混合数据安全节点 | TCP | 443 | 出站HTTPS和WSS |
|
HDS设置工具 | TCP | 443 | 出站HTTPS |
|
只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。 |
通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:
地区 | 通用标识主机URL |
---|---|
美洲 |
|
欧盟 |
|
加拿大 |
|
代理服务器要求
我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。
透明代理 - Cisco Web 安全设备 (WSA)。
显式代理 - Squid。
用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies。
我们支持显式代理的以下验证类型组合:
不进行 HTTP 或 HTTPS 验证
进行 HTTP 或 HTTPS 基本验证
仅进行 HTTPS 摘要验证
对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。
托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。
检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至
wbx2.com
和ciscospark.com
可以解决这个问题。
完成混合数据安全的先决条件
1 | 确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。 | ||
2 | 为HDS部署选择域名(例如, | ||
3 | 准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。 | ||
4 | 根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。 | ||
5 | 为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。 | ||
6 | 设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。 | ||
7 | 为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。
Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。 | ||
8 | 确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。 | ||
9 | 在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080. | ||
10 | 如果要将代理与混合数据安全集成,请确保其符合代理服务器要求。 | ||
11 | 如果您的组织使用目录同步,请在Active Directory中创建一个名为“
|
混合数据安全部署任务流程
准备工作
1 |
将OVA文件下载到本地计算机以供后续使用。 | ||
2 |
使用HDS设置工具为混合数据安全节点创建ISO配置文件。 | ||
3 |
从OVA文件创建虚拟机并执行初始配置,例如网络设置。
| ||
4 |
登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。 | ||
5 |
从使用HDS设置工具创建的ISO配置文件配置VM。 | ||
6 |
如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。 | ||
7 |
向Cisco Webex云注册VM作为混合数据安全节点。 | ||
8 |
完成群集设置。 | ||
9 | 运行试用并进入生产 阶段(下一章) 在开始试用之前,节点会生成警报,指示您的服务尚未激活。 |
下载安装文件
1 | 登录 https://admin.webex.com,然后单击 服务。 | ||||
2 | 在“混合服务”部分,找到混合数据安全卡,然后单击设置。 如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。
| ||||
3 | 选择否表示您尚未设置节点,然后单击下一步。 OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
| ||||
4 | 或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。 |
为HDS主机创建配置ISO
混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。
准备工作
HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。
如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:
描述
变量
无身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
无身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
有身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
有身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:
数据库凭证
证书更新
授权策略更改
如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。
1 | 在机器命令行中输入适用于您环境的命令: 在常规环境中:
在 FedRAMP 环境中:
| ||||||||||||
2 | 要登录 Docker 映像注册表,请输入以下内容:
| ||||||||||||
3 | 在密码提示下,输入以下哈希:
| ||||||||||||
4 | 下载适用于您环境的最新稳定映像: 在常规环境中:
在 FedRAMP 环境中:
| ||||||||||||
5 | 拉取完成后,输入适用于您环境的命令:
容器运行时,您会看到“Express 服务器正在侦听端口 8080。” | ||||||||||||
6 |
使用Web浏览器转至localhost, 该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。 | ||||||||||||
7 | 出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。 | ||||||||||||
8 | 在Setup Tool概述页面上,单击 Get Started。 | ||||||||||||
9 | 在 ISO导入页面上,您有以下选项:
| ||||||||||||
10 | 检查您的X.509证书是否符合X.509证书要求中的要求。
| ||||||||||||
11 | 输入HDS的数据库地址和帐户以访问您的密钥数据存储: | ||||||||||||
12 | 选择 <UNK> LS数据库连接模式:
上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。) | ||||||||||||
13 | 在“系统日志”页面上,配置您的Sy 服务器: | ||||||||||||
14 | (可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:
| ||||||||||||
15 | 单击重置服务帐户密码屏幕上的继续。 服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。 | ||||||||||||
16 | 单击 ISO文件。 将文件保存在易于查找的位置。 | ||||||||||||
17 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||||||||||||
18 | 要关闭设置工具,请键入 |
下一步
备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。
我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。 |
安装HDS主机OVA
1 | 使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。 | ||||||
2 | 选择“文件 > 部署 OVF 模板”。 | ||||||
3 | 在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步。 | ||||||
4 | 在 选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步。 | ||||||
5 | 在 计算资源 页,选择目标计算资源,然后单击 下一步。 运行验证检查。 完成后,将显示模板详细信息。 | ||||||
6 | 验证模板详细信息,然后单击下一步。 | ||||||
7 | 如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步。 | ||||||
8 | 在 存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。 | ||||||
9 | 在 网络 页,从条目列表中选择网络选项以提供所需的VM连接。 | ||||||
10 | 在自定义模板页面上,配置以下网络设置:
如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。
| ||||||
11 | 右键单击节点虚拟机,然后选择 。混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。 疑难解答提示 在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。 |
设置混合数据安全虚拟机
此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。
1 | 在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。 VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
|
2 | 使用以下缺省登录和密码登录并更改凭证: 由于您是首次登录VM,您需要更改管理员密码。 |
3 | 如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。 |
4 | 使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。 |
5 | (可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。 您无需将域设置为与用于获取X.509证书的域匹配。 |
6 | 保存网络配置并重启虚拟机,使更改生效。 |
上传并挂载HDS配置ISO
准备工作
由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。
1 | 从您的计算机上传ISO文件: |
2 | 安装ISO文件: |
下一步
如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。
配置用于代理集成的 HDS 节点
如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。
1 | 输入HDS节点设置URL |
2 | 转至信任库和代理,然后选择一个选项:
按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。 |
3 | 单击上传根证书或最终实体证书,然后导航以选择代理的根证书。 证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除。 |
4 | 单击检查代理连接以测试节点和代理服务器之间的网络连接。 如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式。 |
5 | 在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。 |
6 | 单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装。 节点在几分钟内重启。 |
7 | 节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。 代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。 |
注册集群中的第一个节点
注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。
准备工作
开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。
1 | |
2 | 从屏幕左侧的菜单中选择“服务”。 |
3 | 在“混合服务”部分,找到混合数据安全,然后单击设置。 出现注册混合数据安全节点页。
|
4 | 选择是表示您已设置节点并准备好注册,然后单击下一步。 |
5 | 在第一个字段中,输入要分配混合数据安全节点的集群的名称。 建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯” |
6 | 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步。 此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。 出现一条消息,表示您可以将节点注册到Webex。
|
7 | 单击转至节点。 |
8 | 单击警告消息中的继续。 片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
|
9 | 选中允许访问您的混合数据安全节点复选框,然后单击继续。 您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
|
10 | 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。 在混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。
|
创建和注册更多节点
目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复。 |
准备工作
开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。
确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。
1 | 从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。 |
2 | 在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。 |
3 | 在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。 |
4 | 如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。 |
5 | 注册节点。 节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。
|
下一步
试用到生产任务流程
设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。
准备工作
1 | 如果适用,同步 如果您的组织对用户使用目录同步,则必须选择 |
2 |
开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。 |
3 |
检查关键请求是否传递给您的混合数据安全部署。 |
4 |
检查状态并设置警报的电子邮件通知。 |
5 | |
6 | 通过以下操作之一完成试验阶段: |
激活试用
准备工作
如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup
在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。
1 | 登录 https://admin.webex.com,然后选择 服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“服务状态”部分,单击开始试用。 服务状态将更改为试用模式。
|
4 | 单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。 (如果您的组织使用目录同步,请使用Active Directory管理试用组, |
测试混合数据安全部署
准备工作
设置混合数据安全部署。
激活试用并添加多个试用用户。
确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。
1 | 给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。
| ||
2 | 将消息发送到新空间。 | ||
3 | 检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。 |
监控混合数据安全运行状况
1 | 在 Control Hub中,从屏幕左侧的菜单中选择服务。 |
2 | 在“混合服务”部分,找到混合数据安全,然后单击设置。 出现“混合数据安全设置”页。
|
3 | 在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter。 |
从试用中添加或删除用户
如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。
如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup
;您可以在Control Hub中查看组成员,但无法添加或删除他们。
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。 |
4 | 输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存。 |
从试用过渡到生产
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在Service Status部分,单击 Move to Production。 |
4 | 确认您要将所有用户移至生产模式。 |
在不进入生产阶段的情况下结束试用
1 | 登录Control Hub,然后选择服务。 |
2 | 在混合数据安全下,单击设置。 |
3 | 在“停用”区域中,单击停用。 |
4 | 确认您要停用服务并结束试用。 |
管理HDS部署
使用此处描述的任务来管理混合数据安全部署。
设置集群升级计划
要设置升级安排:
1 | 登录到 Control Hub。 |
2 | 在“概述”页面上的混合服务下,选择混合数据安全。 |
3 | 在“混合数据安全资源”页上,选择群集。 |
4 | 在右侧“概述”面板中的“集群设置”下,选择集群名称。 |
5 | 在“设置”页面中的“升级”下方,为升级安排选择时间与时区。 注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。 |
更改节点配置
由于过期或其他原因而需要更改 x.509 证书。
我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。
更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。
我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。
创建新配置,以准备新的数据中心。
此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:
软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。
硬重设 - 旧密码立即作废。
如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。
使用此过程以生成新的配置 ISO 文件并将其应用于集群。
准备工作
HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。
如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:
描述
变量
无身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
无身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
有身份验证的 HTTP 代理
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
有身份验证的 HTTPS 代理
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。
1 | 使用本地计算机上的 Docker 运行 HDS 设置工具。 |
2 | 如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点。 |
3 | 对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点: |
4 | 重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。 |
关闭阻止外部 DNS 解析模式
当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。
如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。
准备工作
1 | 在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In。 |
2 | 转至概述(缺省页面)。 启用后,阻止外部 DNS 解析会设置为是。 |
3 | 转至信任库和代理页面。 |
4 | 单击检查代理连接。 如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。 |
下一步
删除节点
1 | 使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。 |
2 | 删除节点: |
3 | 在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。) 如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。 |
使用待机数据中心进行灾难恢复
混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。
由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:
如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。 | ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 高级设置页面上,在下面添加配置或删除
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
(可选)在HDS配置之后卸载ISO
标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。
您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。
准备工作
将所有HDS节点升级到版本2021.01.22.4720或更高版本。
1 | 关闭其中一个HDS节点。 |
2 | 在vCenter Server 中,选择HDS节点。 |
3 | 选择 存储器ISO文件。 并取消选中 |
4 | 打开HDS节点电源,并确保至少20分钟内没有警报。 |
5 | 对每个HDS节点依次重复。 |
查看警告和故障诊断
如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:
无法创建新空间(无法创建新密钥)
消息和空间标题无法解密:
添加到空间的新用户(无法获取密钥)
空间中使用新客户端的现有用户(无法获取密钥)
只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行
请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。
警告
如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。
预警 | 操作 |
---|---|
本地数据库访问失败。 |
检查数据库错误或本地网络问题。 |
本地数据库连接失败。 |
检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。 |
云服务访问失败。 |
检查节点是否可以按 连接要求 Webex服务器。 |
续订云服务注册。 |
云服务的注册已取消。 正在续订注册。 |
云服务注册已断开。 |
云服务的注册已终止。 服务正在关闭。 |
服务尚未激活。 |
激活试用或完成将试用转入生产阶段。 |
配置的域与服务器证书不匹配。 |
确保服务器证书与配置的服务激活域匹配。 最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。 |
向云服务验证失败。 |
检查服务帐户凭证的准确性和可能的过期时间。 |
打开本地密钥库文件失败。 |
检查本地密钥库文件的完整性和密码准确性。 |
本地服务器证书无效。 |
检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。 |
无法发布指标。 |
检查外部云服务的本地网络访问。 |
/media/configdrive/hds目录不存在。 |
检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。 |
混合数据安全疑难解答
1 | 查看Control Hub中的任何警告并修复您在此处找到的任何项目。 |
2 | 查看来自混合数据安全部署的系统日志服务器输出的活动。 |
3 | 请联系思科支持人员。 |
混合数据安全的已知问题
如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。
与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。
当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。
使用OpenSSL生成PKCS12文件
准备工作
OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。
如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。
在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org。
创建私有密钥。
从证书颁发机构(CA)收到服务器证书后开始此程序。
1 | 当您从CA收到服务器证书时,将其另存为 |
2 | 将证书显示为文本并验证详细信息。
|
3 | 使用文本编辑器创建名为证书捆绑包的文件。
|
4 | 使用友好名称创建。p12文件
|
5 | 检查服务器证书详细信息。 |
下一步
返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12
在 为HDS主机创建配置ISO中为其设置的文件和密码。
在原始证书过期时,您可以重复使用这些文件以请求新证书。 |
HDS节点和云之间的流量
出站指标收集流量
混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。
入站流量
混合数据安全节点从Webex云接收以下类型的入站流量:
来自客户端的加密请求,由加密服务路由
升级到节点软件
配置用于混合数据安全的 Squid 代理
Websocket 无法通过 Squid 代理连接
检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:
),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss:
流量,以便服务正常运行。
Squid 4 和 5
添加 on_unsupported_protocol
指令至 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf
。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新信息和更改信息
日期 | 已作更改 | ||
---|---|---|---|
2023年10月20日 |
| ||
2023年8月7日 |
| ||
2023年5月23日 |
| ||
2022年12月6日 |
| ||
2022年11月23日 | |||
2021 年 10 月 13 日 | Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)。 | ||
2021 年 6 月 24 日 | 注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件。 | ||
2021 年 4 月 30 日 | 已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求。 | ||
2021 年 2 月 24 日 | HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。 | ||
2021 年 2 月 2 日 | HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。 | ||
2021年1月11日 | 添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。 | ||
2020 年 10 月 13 日 | 更新了下载安装文件。 | ||
2020 年 10 月 8 日 | 更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置。 | ||
2020 年 8 月 14 日 | 更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置。 | ||
2020 年 8 月 5 日 | 更新了测试混合数据安全部署以了解日志消息的更改。 更新了 主机要求 以删除最大主机数量。 | ||
2020 年 6 月 16 日 | 更新了Control Hub UI中的删除节点更改。 | ||
2020 年 6 月 4 日 | 更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。 | ||
2020 年 5 月 29 日 | 更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。 | ||
2020 年 5 月 5 日 | 更新了 主机要求 ,显示ESXi 6.5的新要求。 | ||
2020 年 4 月 21 日 | 更新了新的美洲CI主机的外部连接要求。 | ||
2020 年 4 月 1 日 | 更新了有关区域CI主机的外部连接要求。 | ||
2020 年 2 月 20 日 | 更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。 | ||
2020年2月4日 | 更新了 服务器要求。 | ||
2019 年 12 月 16 日 | 阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。 | ||
2019 年 11 月 19 日 | 在以下部分中添加了有关阻止的外部DNS解析模式的信息: | ||
2019 年 11 月 8 日 | 现在,您可以在部署OVA时而不是在之后为节点配置网络设置。 相应更新了以下各节:
| ||
2019 年 9 月 6 日 | 将SQL Server标准版添加到 服务器要求。 | ||
2019 年 8 月 29 日 | 添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。 | ||
2019 年 8 月 20 日 | 添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。 要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。 | ||
2019年6月13日 | 将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。 | ||
2019年3月6日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018年11月5日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 更改了术语以反映Cisco Spark的更名:
| ||
2018年4月11日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017年11月2日 |
| ||
2017 年 8 月 18 日 | 首次发布 |
混合数据安全概述
从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。
缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。
安全领域体系结构
Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。
为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。
在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:
客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。
消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。
加密的消息将发送到合规性服务以进行合规性检查。
加密消息存储在存储领域中。
部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。
与其他组织协作
组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。
在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境。
对部署混合数据安全的期望
混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。
要部署混合数据安全,您必须提供:
位于Cisco Webex Teams计划 支持位置的国家/地区的安全数据中心。
准备您的环境中描述的设备、软件和网络访问。
完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:
管理数据库和配置ISO的备份和恢复。
准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。
在HDS部署后,没有将密钥移回云的机制。 |
高层设置过程
本文档介绍了混合数据安全部署的设置和管理:
设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。
设置、试验和生产阶段将在接下来的三章中详细介绍。
维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。
了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。
混合数据安全部署模型
在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。
在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)
一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)
群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。
当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。
我们只支持每个组织一个集群。
混合数据安全试验模式
设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。
如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。
如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。
用于灾难恢复的备用数据中心
在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。
活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。
活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。 |
设置灾难恢复的备用数据中心
按照以下步骤配置备用数据中心的ISO文件:
准备工作
备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)
确保在主动和被动群集节点的数据库之间启用数据库同步。
1 | 启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。
| ||
2 | 配置Syslogd服务器后,单击 设置 | ||
3 | 在 设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。
| ||
4 | 完成配置过程并将ISO文件保存在易于找到的位置。 | ||
5 | 在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。 | ||
6 | 在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。 | ||
7 | 单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。
| ||
8 | 打开HDS节点电源,并确保至少15分钟内没有警报。 | ||
9 | 为待机数据中心中的每个节点重复该过程。
|
下一步
配置后 passiveMode
在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode
并将其保存在安全的位置。 该ISO文件的副本 passiveMode
配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。
代理支持
混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。
混合数据安全节点支持以下代理选项:
无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。
透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS