在此文章中
dropdown icon
前言
    新信息和变更信息
dropdown icon
开始使用混合数据安全
    混合数据安全概述
    dropdown icon
    安全域架构
      分离领域(无混合数据安全)
    与其他组织的协作
    部署混合数据安全的期望
    高级安装过程
    dropdown icon
    混合数据安全部署模式
      混合数据安全部署模式
    混合数据安全试用模式
    dropdown icon
    灾难恢复备用数据中心
      设置灾难恢复备用数据中心
    代理支持
dropdown icon
准备您的环境
    dropdown icon
    混合数据安全的要求
      Cisco Webex 许可证要求
      Docker 桌面要求
      X.509 证书要求
      虚拟主机要求
      数据库服务器要求
      外部连接要求
      代理服务器要求
    满足混合数据安全的先决条件
dropdown icon
设置混合数据安全集群
    混合数据安全部署任务流程
    下载安装文件
    为 HDS 主机创建配置 ISO
    安装 HDS 主机 OVA
    设置混合数据安全 VM
    上传并装载 HDS 配置 ISO
    配置用于代理集成的 HDS 节点
    注册集群中的首个节点
    创建和注册更多节点
dropdown icon
运行试用模式并转入生产模式
    试用到生产任务流程
    激活试用
    测试混合数据安全部署
    监控混合数据安全的运行状况
    从试用中添加或删除用户
    从试用模式转入生产模式
    在不转入生产模式的情况下结束试用
dropdown icon
管理您的 HDS 部署
    管理 HDS 部署
    设置集群升级计划
    更改节点配置
    关闭阻止外部 DNS 解析模式
    删除节点
    使用备用数据中心进行灾难恢复
    (可选)HDS 配置后卸载 ISO
dropdown icon
混合数据安全疑难解答
    查看警告和疑难解答
    dropdown icon
    警告
      常见问题与解决步骤
    混合数据安全疑难解答
dropdown icon
其他说明
    混合数据安全的已知问题
    使用 Podman Desktop 运行 HDS 设置工具
    利用 OpenSSL 生成 PKCS12 文件
    HDS 节点和云之间的通信
    dropdown icon
    配置用于混合数据安全的 Squid 代理
      Websocket 无法通过 Squid 代理连接
2025年5月22日 | 693 次查看 | 0 人认为有帮助

Webex 混合数据安全部署指南

list-menu在此文章中
list-menu反馈?
前言

新信息和更改信息

日期

已作更改

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

    更新了 服务器要求 主题,添加了此验证模式的其他要求。

    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了 主机要求 以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了 主机要求 ,显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
2020年2月4日更新了 服务器要求
2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息:

2019 年 11 月 8 日

现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节:


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到 服务器要求

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
2019年3月6日
2019 年 2 月 28 日

  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


     

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名:

  • Cisco Spark混合数据安全现为混合数据安全。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

2017年11月2日

  • 澄清HdsTrialGroup的目录同步。

  • 修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

分离领域(没有混合数据安全)

为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

  3. 加密的消息将发送到合规性服务以进行合规性检查。

  4. 加密消息存储在存储领域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

与其他组织协作

组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

  • 管理数据库和配置ISO的备份和恢复。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


 

在HDS部署后,没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

    设置、试验和生产阶段将在接下来的三章中详细介绍。

  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

混合数据安全部署模型

一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

用于灾难恢复的备用数据中心

在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
手动故障转移到待机数据中心

活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


 

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件:

准备工作

  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


 

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

2

配置Syslogd服务器后,单击 设置

3

设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。


passiveMode: 'true'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全:

Docker Desktop要求

安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求:

表 1. 混合数据安全部署的X.509证书要求

要求

详细信息

  • 由受信任的证书颁发机构(CA)签名

默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

  • 标识混合数据安全部署的公用名(CN)域名

  • 不是通配符证书

CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

  • 非SHA1签名

KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

  • 格式化为受密码保护的PKCS #12文件

  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

您可以使用转换器(例如OpenSSL)来更改证书的格式。

运行HDS设置工具时,您需要输入密码。

KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


     

    如果您有较早版本的ESXi,则必须升级。

  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

数据库服务器要求


 

创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

数据库服务器有两个选项。 每一项的要求如下:

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14、15或16,已安装并运行。

  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


     

    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站HTTPS和WSS

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有通用标识主机

  • hub.docker.com


 

只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

地区

通用标识主机URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。


       

      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。
1

确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

2

为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

3

准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

4

根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名称或IP地址(主机)和端口

    • 用于密钥存储的数据库名称(dbname)

    • 具有密钥存储数据库所有权限的用户的用户名和密码

5

为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

6

设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


 

由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

8

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

9

在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


 

给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

准备您的环境

1

下载安装文件

将OVA文件下载到本地计算机以供后续使用。

2

为HDS主机创建配置ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装HDS主机OVA

从OVA文件创建虚拟机并执行初始配置,例如网络设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

4

设置混合数据安全虚拟机

登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

5

上传并挂载HDS配置ISO

从使用HDS设置工具创建的ISO配置文件配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

7

注册集群中的第一个节点

向Cisco Webex云注册VM作为混合数据安全节点。

8

创建和注册更多节点

完成群集设置。

9

运行试用并进入生产 阶段(下一章)

在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下载安装文件

在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
1

登录 https://admin.webex.com,然后单击 服务

2

在“混合服务”部分,找到混合数据安全卡,然后单击设置

如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


 

您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


 

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

3

选择表示您尚未设置节点,然后单击下一步

OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

    • 数据库凭证

    • 证书更新

    • 授权策略更改

  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

 

设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

8

在Setup Tool概述页面上,单击 Get Started

9

ISO导入页面上,您有以下选项:

  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合X.509证书要求中的要求。

  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书确定,请单击继续
  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据存储:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

  2. (仅Microsoft SQL Server)选择您的验证类型

    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

  4. 输入数据库名称

  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

12

选择 <UNK> LS数据库连接模式

模式

描述

首选 TLS(缺省选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者


 

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

13

在“系统日志”页面上,配置您的Sy 服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

    例如:
    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

    • 字节为空-- \x00

    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

app_datasource_connection_pool_maxSize: 10
15

单击重置服务帐户密码屏幕上的继续

服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

16

单击 ISO文件。 将文件保存在易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

18

要关闭设置工具,请键入 CTRL+C

下一步

备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


 

我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

4

选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

5

计算资源 页,选择目标计算资源,然后单击 下一步

运行验证检查。 完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

8

存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

9

网络 页,从条目列表中选择网络选项以提供所需的VM连接。

10

自定义模板页面上,配置以下网络设置:

  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

     

    • 您无需将域设置为与用于获取X.509证书的域匹配。

    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址 -输入节点内部接口的IP地址。

     

    节点应具有内部IP地址和DNS名称。 不支持DHCP。

  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

11

右键单击节点虚拟机,然后选择 >

混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

1

在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录和密码登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于您是首次登录VM,您需要更改管理员密码。

3

如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

4

使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

5

(可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

您无需将域设置为与用于获取X.509证书的域匹配。

6

保存网络配置并重启虚拟机,使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

1

从您的计算机上传ISO文件:

  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

  2. 在配置标签页的硬件列表中,单击存储空间

  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击“上传文件”

  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

2

安装ISO文件:

  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  2. 单击 确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

  4. 检查已连接接通电源时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分,找到混合数据安全,然后单击设置

出现注册混合数据安全节点页。
4

选择表示您已设置节点并准备好注册,然后单击下一步

5

在第一个字段中,输入要分配混合数据安全节点的集群的名称。

建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

出现一条消息,表示您可以将节点注册到Webex。
7

单击转至节点。

8

单击警告消息中的继续。

片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
9

选中允许访问您的混合数据安全节点复选框,然后单击继续

您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
10

单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

 

目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

2

在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

3

在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

4

如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

    出现“混合数据安全资源”页。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

    出现一条消息,表示您可以将节点注册到Webex云。

  6. 单击转至节点。

    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。

  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下一步

运行试用并进入生产 阶段(下一章)
运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

准备工作

设置混合数据安全群集
1

如果适用,同步 HdsTrialGroup 组对象。

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

2

激活试用

开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递给您的混合数据安全部署。

4

监控混合数据安全运行状况

检查状态并设置警报的电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

准备工作

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

1

登录 https://admin.webex.com,然后选择 服务

2

在混合数据安全下,单击设置

3

在“服务状态”部分,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

(如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

  • 设置混合数据安全部署。

  • 激活试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

1

给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


 

如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

2

将消息发送到新空间。

3

检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    您应该找到如下条目(为便于阅读而缩写的标识符):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

    您应该找到以下条目:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
1

Control Hub中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分,找到混合数据安全,然后单击设置

出现“混合数据安全设置”页。
3

在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

从试用中添加或删除用户

在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

4

输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在Service Status部分,单击 Move to Production

4

确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“停用”区域中,单击停用

4

确认您要停用服务并结束试用。

管理HDS部署

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

要设置升级安排:

1

登录到 Control Hub。

2

在“概述”页面上的混合服务下,选择混合数据安全

3

在“混合数据安全资源”页上,选择群集。

4

在右侧“概述”面板中的“集群设置”下,选择集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。


     

    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


     

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

  • 硬重设 - 旧密码立即作废。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


     

    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

  8. 导入当前配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭设置工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 安装更新的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

  4. 选中开机时连接

  5. 保存您的更改并打开虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

2

删除节点:

  1. 登录Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

  3. 选择簇以显示其概述面板。

  4. 单击 节点列表

  5. 在“节点”选项卡上,选择要删除的节点。

  6. 单击 > 注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

2

配置Syslogd服务器后,单击 设置

3

高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。 


passiveMode: 'false'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

(可选)在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1

关闭其中一个HDS节点。

2

在vCenter Server 中,选择HDS节点。

3

选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

4

打开HDS节点电源,并确保至少20分钟内没有警报。

5

对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 消息和空间标题无法解密:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

警告

如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按 连接要求 Webex服务器。

续订云服务注册。

云服务的注册已取消。 正在续订注册。

云服务注册已断开。

云服务的注册已终止。 服务正在关闭。

服务尚未激活。

激活试用或完成将试用转入生产阶段。

配置的域与服务器证书不匹配。

确保服务器证书与配置的服务激活域匹配。

最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

向云服务验证失败。

检查服务帐户凭证的准确性和可能的过期时间。

打开本地密钥库文件失败。

检查本地密钥库文件的完整性和密码准确性。

本地服务器证书无效。

检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

无法发布指标。

检查外部云服务的本地网络访问。

/media/configdrive/hds目录不存在。

检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
1

查看Control Hub中的任何警告并修复您在此处找到的任何项目。

2

查看来自混合数据安全部署的系统日志服务器输出的活动。

3

请联系思科支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

使用OpenSSL生成PKCS12文件

准备工作

  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

1

当您从CA收到服务器证书时,将其另存为 hdsnode.pem

2

将证书显示为文本并验证详细信息。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

使用友好名称创建。p12文件 kms-private-key

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

下一步

返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


 

在原始证书过期时,您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 来自客户端的加密请求,由加密服务路由

  • 升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf: 

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
前言

新信息和更改信息

日期

已作更改

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

    更新了 服务器要求 主题,添加了此验证模式的其他要求。

    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了 主机要求 以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了 主机要求 ,显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
2020年2月4日更新了 服务器要求
2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息:

2019 年 11 月 8 日

现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节:


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到 服务器要求

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
2019年3月6日
2019 年 2 月 28 日

  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


     

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名:

  • Cisco Spark混合数据安全现为混合数据安全。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

2017年11月2日

  • 澄清HdsTrialGroup的目录同步。

  • 修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

分离领域(没有混合数据安全)

为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

  3. 加密的消息将发送到合规性服务以进行合规性检查。

  4. 加密消息存储在存储领域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

与其他组织协作

组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

  • 管理数据库和配置ISO的备份和恢复。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


 

在HDS部署后,没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

    设置、试验和生产阶段将在接下来的三章中详细介绍。

  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

混合数据安全部署模型

一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

用于灾难恢复的备用数据中心

在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
手动故障转移到待机数据中心

活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


 

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件:

准备工作

  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


 

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

2

配置Syslogd服务器后,单击 设置

3

设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。


passiveMode: 'true'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全:

Docker Desktop要求

安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求:

表 1. 混合数据安全部署的X.509证书要求

要求

详细信息

  • 由受信任的证书颁发机构(CA)签名

默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

  • 标识混合数据安全部署的公用名(CN)域名

  • 不是通配符证书

CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

  • 非SHA1签名

KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

  • 格式化为受密码保护的PKCS #12文件

  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

您可以使用转换器(例如OpenSSL)来更改证书的格式。

运行HDS设置工具时,您需要输入密码。

KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


     

    如果您有较早版本的ESXi,则必须升级。

  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

数据库服务器要求


 

创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

数据库服务器有两个选项。 每一项的要求如下:

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14、15或16,已安装并运行。

  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


     

    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站HTTPS和WSS

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有通用标识主机

  • hub.docker.com


 

只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

地区

通用标识主机URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。


       

      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。
1

确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

2

为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

3

准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

4

根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名称或IP地址(主机)和端口

    • 用于密钥存储的数据库名称(dbname)

    • 具有密钥存储数据库所有权限的用户的用户名和密码

5

为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

6

设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


 

由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

8

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

9

在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


 

给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

准备您的环境

1

下载安装文件

将OVA文件下载到本地计算机以供后续使用。

2

为HDS主机创建配置ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装HDS主机OVA

从OVA文件创建虚拟机并执行初始配置,例如网络设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

4

设置混合数据安全虚拟机

登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

5

上传并挂载HDS配置ISO

从使用HDS设置工具创建的ISO配置文件配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

7

注册集群中的第一个节点

向Cisco Webex云注册VM作为混合数据安全节点。

8

创建和注册更多节点

完成群集设置。

9

运行试用并进入生产 阶段(下一章)

在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下载安装文件

在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
1

登录 https://admin.webex.com,然后单击 服务

2

在“混合服务”部分,找到混合数据安全卡,然后单击设置

如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


 

您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


 

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

3

选择表示您尚未设置节点,然后单击下一步

OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

    • 数据库凭证

    • 证书更新

    • 授权策略更改

  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

 

设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

8

在Setup Tool概述页面上,单击 Get Started

9

ISO导入页面上,您有以下选项:

  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合X.509证书要求中的要求。

  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书确定,请单击继续
  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据存储:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

  2. (仅Microsoft SQL Server)选择您的验证类型

    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

  4. 输入数据库名称

  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

12

选择 <UNK> LS数据库连接模式

模式

描述

首选 TLS(缺省选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者


 

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

13

在“系统日志”页面上,配置您的Sy 服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

    例如:
    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

    • 字节为空-- \x00

    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

app_datasource_connection_pool_maxSize: 10
15

单击重置服务帐户密码屏幕上的继续

服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

16

单击 ISO文件。 将文件保存在易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

18

要关闭设置工具,请键入 CTRL+C

下一步

备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


 

我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

4

选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

5

计算资源 页,选择目标计算资源,然后单击 下一步

运行验证检查。 完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

8

存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

9

网络 页,从条目列表中选择网络选项以提供所需的VM连接。

10

自定义模板页面上,配置以下网络设置:

  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

     

    • 您无需将域设置为与用于获取X.509证书的域匹配。

    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址 -输入节点内部接口的IP地址。

     

    节点应具有内部IP地址和DNS名称。 不支持DHCP。

  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

11

右键单击节点虚拟机,然后选择 >

混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

1

在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录和密码登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于您是首次登录VM,您需要更改管理员密码。

3

如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

4

使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

5

(可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

您无需将域设置为与用于获取X.509证书的域匹配。

6

保存网络配置并重启虚拟机,使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

1

从您的计算机上传ISO文件:

  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

  2. 在配置标签页的硬件列表中,单击存储空间

  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击“上传文件”

  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

2

安装ISO文件:

  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  2. 单击 确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

  4. 检查已连接接通电源时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分,找到混合数据安全,然后单击设置

出现注册混合数据安全节点页。
4

选择表示您已设置节点并准备好注册,然后单击下一步

5

在第一个字段中,输入要分配混合数据安全节点的集群的名称。

建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

出现一条消息,表示您可以将节点注册到Webex。
7

单击转至节点。

8

单击警告消息中的继续。

片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
9

选中允许访问您的混合数据安全节点复选框,然后单击继续

您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
10

单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

 

目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

2

在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

3

在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

4

如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

    出现“混合数据安全资源”页。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

    出现一条消息,表示您可以将节点注册到Webex云。

  6. 单击转至节点。

    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。

  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下一步

运行试用并进入生产 阶段(下一章)
运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

准备工作

设置混合数据安全群集
1

如果适用,同步 HdsTrialGroup 组对象。

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

2

激活试用

开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递给您的混合数据安全部署。

4

监控混合数据安全运行状况

检查状态并设置警报的电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

准备工作

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

1

登录 https://admin.webex.com,然后选择 服务

2

在混合数据安全下,单击设置

3

在“服务状态”部分,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

(如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

  • 设置混合数据安全部署。

  • 激活试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

1

给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


 

如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

2

将消息发送到新空间。

3

检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    您应该找到如下条目(为便于阅读而缩写的标识符):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

    您应该找到以下条目:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
1

Control Hub中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分,找到混合数据安全,然后单击设置

出现“混合数据安全设置”页。
3

在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

从试用中添加或删除用户

在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

4

输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在Service Status部分,单击 Move to Production

4

确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“停用”区域中,单击停用

4

确认您要停用服务并结束试用。

管理HDS部署

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

要设置升级安排:

1

登录到 Control Hub。

2

在“概述”页面上的混合服务下,选择混合数据安全

3

在“混合数据安全资源”页上,选择群集。

4

在右侧“概述”面板中的“集群设置”下,选择集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。


     

    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


     

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

  • 硬重设 - 旧密码立即作废。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


     

    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

  8. 导入当前配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭设置工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 安装更新的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

  4. 选中开机时连接

  5. 保存您的更改并打开虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

2

删除节点:

  1. 登录Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

  3. 选择簇以显示其概述面板。

  4. 单击 节点列表

  5. 在“节点”选项卡上,选择要删除的节点。

  6. 单击 > 注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

2

配置Syslogd服务器后,单击 设置

3

高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。 


passiveMode: 'false'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

(可选)在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1

关闭其中一个HDS节点。

2

在vCenter Server 中,选择HDS节点。

3

选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

4

打开HDS节点电源,并确保至少20分钟内没有警报。

5

对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 消息和空间标题无法解密:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

警告

如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按 连接要求 Webex服务器。

续订云服务注册。

云服务的注册已取消。 正在续订注册。

云服务注册已断开。

云服务的注册已终止。 服务正在关闭。

服务尚未激活。

激活试用或完成将试用转入生产阶段。

配置的域与服务器证书不匹配。

确保服务器证书与配置的服务激活域匹配。

最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

向云服务验证失败。

检查服务帐户凭证的准确性和可能的过期时间。

打开本地密钥库文件失败。

检查本地密钥库文件的完整性和密码准确性。

本地服务器证书无效。

检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

无法发布指标。

检查外部云服务的本地网络访问。

/media/configdrive/hds目录不存在。

检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
1

查看Control Hub中的任何警告并修复您在此处找到的任何项目。

2

查看来自混合数据安全部署的系统日志服务器输出的活动。

3

请联系思科支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

使用OpenSSL生成PKCS12文件

准备工作

  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

1

当您从CA收到服务器证书时,将其另存为 hdsnode.pem

2

将证书显示为文本并验证详细信息。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

使用友好名称创建。p12文件 kms-private-key

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

下一步

返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


 

在原始证书过期时,您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 来自客户端的加密请求,由加密服务路由

  • 升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf: 

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
前言

新信息和更改信息

日期

已作更改

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

    更新了 服务器要求 主题,添加了此验证模式的其他要求。

    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了 主机要求 以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了 主机要求 ,显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
2020年2月4日更新了 服务器要求
2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息:

2019 年 11 月 8 日

现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节:


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到 服务器要求

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
2019年3月6日
2019 年 2 月 28 日

  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


     

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名:

  • Cisco Spark混合数据安全现为混合数据安全。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

2017年11月2日

  • 澄清HdsTrialGroup的目录同步。

  • 修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

分离领域(没有混合数据安全)

为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

  3. 加密的消息将发送到合规性服务以进行合规性检查。

  4. 加密消息存储在存储领域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

与其他组织协作

组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

  • 管理数据库和配置ISO的备份和恢复。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


 

在HDS部署后,没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

    设置、试验和生产阶段将在接下来的三章中详细介绍。

  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

混合数据安全部署模型

一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

用于灾难恢复的备用数据中心

在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
手动故障转移到待机数据中心

活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


 

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件:

准备工作

  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


 

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

2

配置Syslogd服务器后,单击 设置

3

设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。


passiveMode: 'true'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全:

Docker Desktop要求

安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求:

表 1. 混合数据安全部署的X.509证书要求

要求

详细信息

  • 由受信任的证书颁发机构(CA)签名

默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

  • 标识混合数据安全部署的公用名(CN)域名

  • 不是通配符证书

CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

  • 非SHA1签名

KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

  • 格式化为受密码保护的PKCS #12文件

  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

您可以使用转换器(例如OpenSSL)来更改证书的格式。

运行HDS设置工具时,您需要输入密码。

KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


     

    如果您有较早版本的ESXi,则必须升级。

  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

数据库服务器要求


 

创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

数据库服务器有两个选项。 每一项的要求如下:

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14、15或16,已安装并运行。

  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


     

    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站HTTPS和WSS

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有通用标识主机

  • hub.docker.com


 

只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

地区

通用标识主机URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。


       

      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。
1

确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

2

为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

3

准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

4

根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名称或IP地址(主机)和端口

    • 用于密钥存储的数据库名称(dbname)

    • 具有密钥存储数据库所有权限的用户的用户名和密码

5

为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

6

设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


 

由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

8

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

9

在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


 

给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

准备您的环境

1

下载安装文件

将OVA文件下载到本地计算机以供后续使用。

2

为HDS主机创建配置ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装HDS主机OVA

从OVA文件创建虚拟机并执行初始配置,例如网络设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

4

设置混合数据安全虚拟机

登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

5

上传并挂载HDS配置ISO

从使用HDS设置工具创建的ISO配置文件配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

7

注册集群中的第一个节点

向Cisco Webex云注册VM作为混合数据安全节点。

8

创建和注册更多节点

完成群集设置。

9

运行试用并进入生产 阶段(下一章)

在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下载安装文件

在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
1

登录 https://admin.webex.com,然后单击 服务

2

在“混合服务”部分,找到混合数据安全卡,然后单击设置

如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


 

您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


 

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

3

选择表示您尚未设置节点,然后单击下一步

OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

    • 数据库凭证

    • 证书更新

    • 授权策略更改

  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

 

设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

8

在Setup Tool概述页面上,单击 Get Started

9

ISO导入页面上,您有以下选项:

  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合X.509证书要求中的要求。

  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书确定,请单击继续
  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据存储:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

  2. (仅Microsoft SQL Server)选择您的验证类型

    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

  4. 输入数据库名称

  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

12

选择 <UNK> LS数据库连接模式

模式

描述

首选 TLS(缺省选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者


 

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

13

在“系统日志”页面上,配置您的Sy 服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

    例如:
    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

    • 字节为空-- \x00

    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

app_datasource_connection_pool_maxSize: 10
15

单击重置服务帐户密码屏幕上的继续

服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

16

单击 ISO文件。 将文件保存在易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

18

要关闭设置工具,请键入 CTRL+C

下一步

备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


 

我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

4

选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

5

计算资源 页,选择目标计算资源,然后单击 下一步

运行验证检查。 完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

8

存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

9

网络 页,从条目列表中选择网络选项以提供所需的VM连接。

10

自定义模板页面上,配置以下网络设置:

  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

     

    • 您无需将域设置为与用于获取X.509证书的域匹配。

    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址 -输入节点内部接口的IP地址。

     

    节点应具有内部IP地址和DNS名称。 不支持DHCP。

  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

11

右键单击节点虚拟机,然后选择 >

混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

1

在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录和密码登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于您是首次登录VM,您需要更改管理员密码。

3

如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

4

使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

5

(可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

您无需将域设置为与用于获取X.509证书的域匹配。

6

保存网络配置并重启虚拟机,使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

1

从您的计算机上传ISO文件:

  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

  2. 在配置标签页的硬件列表中,单击存储空间

  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击“上传文件”

  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

2

安装ISO文件:

  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  2. 单击 确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

  4. 检查已连接接通电源时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分,找到混合数据安全,然后单击设置

出现注册混合数据安全节点页。
4

选择表示您已设置节点并准备好注册,然后单击下一步

5

在第一个字段中,输入要分配混合数据安全节点的集群的名称。

建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

出现一条消息,表示您可以将节点注册到Webex。
7

单击转至节点。

8

单击警告消息中的继续。

片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
9

选中允许访问您的混合数据安全节点复选框,然后单击继续

您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
10

单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

 

目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

2

在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

3

在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

4

如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

    出现“混合数据安全资源”页。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

    出现一条消息,表示您可以将节点注册到Webex云。

  6. 单击转至节点。

    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。

  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下一步

运行试用并进入生产 阶段(下一章)
运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

准备工作

设置混合数据安全群集
1

如果适用,同步 HdsTrialGroup 组对象。

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

2

激活试用

开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递给您的混合数据安全部署。

4

监控混合数据安全运行状况

检查状态并设置警报的电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

准备工作

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

1

登录 https://admin.webex.com,然后选择 服务

2

在混合数据安全下,单击设置

3

在“服务状态”部分,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

(如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

  • 设置混合数据安全部署。

  • 激活试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

1

给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


 

如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

2

将消息发送到新空间。

3

检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    您应该找到如下条目(为便于阅读而缩写的标识符):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

    您应该找到以下条目:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
1

Control Hub中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分,找到混合数据安全,然后单击设置

出现“混合数据安全设置”页。
3

在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

从试用中添加或删除用户

在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

4

输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在Service Status部分,单击 Move to Production

4

确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“停用”区域中,单击停用

4

确认您要停用服务并结束试用。

管理HDS部署

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

要设置升级安排:

1

登录到 Control Hub。

2

在“概述”页面上的混合服务下,选择混合数据安全

3

在“混合数据安全资源”页上,选择群集。

4

在右侧“概述”面板中的“集群设置”下,选择集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。


     

    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


     

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

  • 硬重设 - 旧密码立即作废。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


     

    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

  8. 导入当前配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭设置工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 安装更新的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

  4. 选中开机时连接

  5. 保存您的更改并打开虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

2

删除节点:

  1. 登录Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

  3. 选择簇以显示其概述面板。

  4. 单击 节点列表

  5. 在“节点”选项卡上,选择要删除的节点。

  6. 单击 > 注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

2

配置Syslogd服务器后,单击 设置

3

高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。 


passiveMode: 'false'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

(可选)在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1

关闭其中一个HDS节点。

2

在vCenter Server 中,选择HDS节点。

3

选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

4

打开HDS节点电源,并确保至少20分钟内没有警报。

5

对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 消息和空间标题无法解密:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

警告

如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按 连接要求 Webex服务器。

续订云服务注册。

云服务的注册已取消。 正在续订注册。

云服务注册已断开。

云服务的注册已终止。 服务正在关闭。

服务尚未激活。

激活试用或完成将试用转入生产阶段。

配置的域与服务器证书不匹配。

确保服务器证书与配置的服务激活域匹配。

最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

向云服务验证失败。

检查服务帐户凭证的准确性和可能的过期时间。

打开本地密钥库文件失败。

检查本地密钥库文件的完整性和密码准确性。

本地服务器证书无效。

检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

无法发布指标。

检查外部云服务的本地网络访问。

/media/configdrive/hds目录不存在。

检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
1

查看Control Hub中的任何警告并修复您在此处找到的任何项目。

2

查看来自混合数据安全部署的系统日志服务器输出的活动。

3

请联系思科支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

使用OpenSSL生成PKCS12文件

准备工作

  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

1

当您从CA收到服务器证书时,将其另存为 hdsnode.pem

2

将证书显示为文本并验证详细信息。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

使用友好名称创建。p12文件 kms-private-key

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

下一步

返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


 

在原始证书过期时,您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 来自客户端的加密请求,由加密服务路由

  • 升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf: 

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
前言

新信息和更改信息

日期

已作更改

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

    更新了 服务器要求 主题,添加了此验证模式的其他要求。

    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了 主机要求 以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了 主机要求 ,显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
2020年2月4日更新了 服务器要求
2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息:

2019 年 11 月 8 日

现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节:


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到 服务器要求

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
2019年3月6日
2019 年 2 月 28 日

  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


     

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名:

  • Cisco Spark混合数据安全现为混合数据安全。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

2017年11月2日

  • 澄清HdsTrialGroup的目录同步。

  • 修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

分离领域(没有混合数据安全)

为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

  3. 加密的消息将发送到合规性服务以进行合规性检查。

  4. 加密消息存储在存储领域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

与其他组织协作

组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

  • 管理数据库和配置ISO的备份和恢复。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


 

在HDS部署后,没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

    设置、试验和生产阶段将在接下来的三章中详细介绍。

  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

混合数据安全部署模型

一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

用于灾难恢复的备用数据中心

在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
手动故障转移到待机数据中心

活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


 

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件:

准备工作

  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


 

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

2

配置Syslogd服务器后,单击 设置

3

设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。


passiveMode: 'true'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全:

Docker Desktop要求

安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求:

表 1. 混合数据安全部署的X.509证书要求

要求

详细信息

  • 由受信任的证书颁发机构(CA)签名

默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

  • 标识混合数据安全部署的公用名(CN)域名

  • 不是通配符证书

CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

  • 非SHA1签名

KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

  • 格式化为受密码保护的PKCS #12文件

  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

您可以使用转换器(例如OpenSSL)来更改证书的格式。

运行HDS设置工具时,您需要输入密码。

KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


     

    如果您有较早版本的ESXi,则必须升级。

  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

数据库服务器要求


 

创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

数据库服务器有两个选项。 每一项的要求如下:

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14、15或16,已安装并运行。

  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


     

    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站HTTPS和WSS

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有通用标识主机

  • hub.docker.com


 

只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

地区

通用标识主机URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。


       

      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。
1

确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

2

为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

3

准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

4

根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名称或IP地址(主机)和端口

    • 用于密钥存储的数据库名称(dbname)

    • 具有密钥存储数据库所有权限的用户的用户名和密码

5

为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

6

设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


 

由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

8

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

9

在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


 

给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

准备您的环境

1

下载安装文件

将OVA文件下载到本地计算机以供后续使用。

2

为HDS主机创建配置ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装HDS主机OVA

从OVA文件创建虚拟机并执行初始配置,例如网络设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

4

设置混合数据安全虚拟机

登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

5

上传并挂载HDS配置ISO

从使用HDS设置工具创建的ISO配置文件配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

7

注册集群中的第一个节点

向Cisco Webex云注册VM作为混合数据安全节点。

8

创建和注册更多节点

完成群集设置。

9

运行试用并进入生产 阶段(下一章)

在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下载安装文件

在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
1

登录 https://admin.webex.com,然后单击 服务

2

在“混合服务”部分,找到混合数据安全卡,然后单击设置

如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


 

您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


 

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

3

选择表示您尚未设置节点,然后单击下一步

OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

    • 数据库凭证

    • 证书更新

    • 授权策略更改

  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

 

设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

8

在Setup Tool概述页面上,单击 Get Started

9

ISO导入页面上,您有以下选项:

  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合X.509证书要求中的要求。

  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书确定,请单击继续
  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据存储:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

  2. (仅Microsoft SQL Server)选择您的验证类型

    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

  4. 输入数据库名称

  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

12

选择 <UNK> LS数据库连接模式

模式

描述

首选 TLS(缺省选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者


 

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

13

在“系统日志”页面上,配置您的Sy 服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

    例如:
    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

    • 字节为空-- \x00

    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

app_datasource_connection_pool_maxSize: 10
15

单击重置服务帐户密码屏幕上的继续

服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

16

单击 ISO文件。 将文件保存在易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

18

要关闭设置工具,请键入 CTRL+C

下一步

备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


 

我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

4

选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

5

计算资源 页,选择目标计算资源,然后单击 下一步

运行验证检查。 完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

8

存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

9

网络 页,从条目列表中选择网络选项以提供所需的VM连接。

10

自定义模板页面上,配置以下网络设置:

  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

     

    • 您无需将域设置为与用于获取X.509证书的域匹配。

    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址 -输入节点内部接口的IP地址。

     

    节点应具有内部IP地址和DNS名称。 不支持DHCP。

  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

11

右键单击节点虚拟机,然后选择 >

混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

1

在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录和密码登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于您是首次登录VM,您需要更改管理员密码。

3

如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

4

使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

5

(可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

您无需将域设置为与用于获取X.509证书的域匹配。

6

保存网络配置并重启虚拟机,使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

1

从您的计算机上传ISO文件:

  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

  2. 在配置标签页的硬件列表中,单击存储空间

  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击“上传文件”

  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

2

安装ISO文件:

  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  2. 单击 确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

  4. 检查已连接接通电源时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分,找到混合数据安全,然后单击设置

出现注册混合数据安全节点页。
4

选择表示您已设置节点并准备好注册,然后单击下一步

5

在第一个字段中,输入要分配混合数据安全节点的集群的名称。

建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

出现一条消息,表示您可以将节点注册到Webex。
7

单击转至节点。

8

单击警告消息中的继续。

片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
9

选中允许访问您的混合数据安全节点复选框,然后单击继续

您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
10

单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

 

目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

2

在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

3

在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

4

如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

    出现“混合数据安全资源”页。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

    出现一条消息,表示您可以将节点注册到Webex云。

  6. 单击转至节点。

    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。

  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下一步

运行试用并进入生产 阶段(下一章)
运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

准备工作

设置混合数据安全群集
1

如果适用,同步 HdsTrialGroup 组对象。

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

2

激活试用

开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递给您的混合数据安全部署。

4

监控混合数据安全运行状况

检查状态并设置警报的电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

准备工作

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

1

登录 https://admin.webex.com,然后选择 服务

2

在混合数据安全下,单击设置

3

在“服务状态”部分,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

(如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

  • 设置混合数据安全部署。

  • 激活试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

1

给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


 

如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

2

将消息发送到新空间。

3

检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    您应该找到如下条目(为便于阅读而缩写的标识符):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

    您应该找到以下条目:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
1

Control Hub中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分,找到混合数据安全,然后单击设置

出现“混合数据安全设置”页。
3

在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

从试用中添加或删除用户

在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

4

输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在Service Status部分,单击 Move to Production

4

确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“停用”区域中,单击停用

4

确认您要停用服务并结束试用。

管理HDS部署

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

要设置升级安排:

1

登录到 Control Hub。

2

在“概述”页面上的混合服务下,选择混合数据安全

3

在“混合数据安全资源”页上,选择群集。

4

在右侧“概述”面板中的“集群设置”下,选择集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。


     

    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


     

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

  • 硬重设 - 旧密码立即作废。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


     

    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

  8. 导入当前配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭设置工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 安装更新的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

  4. 选中开机时连接

  5. 保存您的更改并打开虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

2

删除节点:

  1. 登录Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

  3. 选择簇以显示其概述面板。

  4. 单击 节点列表

  5. 在“节点”选项卡上,选择要删除的节点。

  6. 单击 > 注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

2

配置Syslogd服务器后,单击 设置

3

高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。 


passiveMode: 'false'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

(可选)在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1

关闭其中一个HDS节点。

2

在vCenter Server 中,选择HDS节点。

3

选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

4

打开HDS节点电源,并确保至少20分钟内没有警报。

5

对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 消息和空间标题无法解密:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

警告

如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按 连接要求 Webex服务器。

续订云服务注册。

云服务的注册已取消。 正在续订注册。

云服务注册已断开。

云服务的注册已终止。 服务正在关闭。

服务尚未激活。

激活试用或完成将试用转入生产阶段。

配置的域与服务器证书不匹配。

确保服务器证书与配置的服务激活域匹配。

最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

向云服务验证失败。

检查服务帐户凭证的准确性和可能的过期时间。

打开本地密钥库文件失败。

检查本地密钥库文件的完整性和密码准确性。

本地服务器证书无效。

检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

无法发布指标。

检查外部云服务的本地网络访问。

/media/configdrive/hds目录不存在。

检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
1

查看Control Hub中的任何警告并修复您在此处找到的任何项目。

2

查看来自混合数据安全部署的系统日志服务器输出的活动。

3

请联系思科支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

使用OpenSSL生成PKCS12文件

准备工作

  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

1

当您从CA收到服务器证书时,将其另存为 hdsnode.pem

2

将证书显示为文本并验证详细信息。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

使用友好名称创建。p12文件 kms-private-key

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

下一步

返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


 

在原始证书过期时,您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 来自客户端的加密请求,由加密服务路由

  • 升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf: 

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
前言

新信息和更改信息

日期

已作更改

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

    更新了 服务器要求 主题,添加了此验证模式的其他要求。

    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了 主机要求 以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了 主机要求 ,显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
2020年2月4日更新了 服务器要求
2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息:

2019 年 11 月 8 日

现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节:


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到 服务器要求

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
2019年3月6日
2019 年 2 月 28 日

  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


     

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名:

  • Cisco Spark混合数据安全现为混合数据安全。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

2017年11月2日

  • 澄清HdsTrialGroup的目录同步。

  • 修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,由 Webex 应用程序客户端与密钥管理服务 (KMS) 交互启用。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

分离领域(没有混合数据安全)

为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

  3. 加密的消息将发送到合规性服务以进行合规性检查。

  4. 加密消息存储在存储领域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

与其他组织协作

组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

  • 管理数据库和配置ISO的备份和恢复。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


 

在HDS部署后,没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

    设置、试验和生产阶段将在接下来的三章中详细介绍。

  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

混合数据安全部署模型

一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

用于灾难恢复的备用数据中心

在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
手动故障转移到待机数据中心

活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


 

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件:

准备工作

  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


 

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

2

配置Syslogd服务器后,单击 设置

3

设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。


passiveMode: 'true'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全:

Docker Desktop要求

安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要 Docker Desktop 付费订阅。 有关详细信息,请参阅 Docker 博文“ Docker 即将更新和扩展我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求:

表 1. 混合数据安全部署的X.509证书要求

要求

详细信息

  • 由受信任的证书颁发机构(CA)签名

默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

  • 标识混合数据安全部署的公用名(CN)域名

  • 不是通配符证书

CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

  • 非SHA1签名

KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

  • 格式化为受密码保护的PKCS #12文件

  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

您可以使用转换器(例如OpenSSL)来更改证书的格式。

运行HDS设置工具时,您需要输入密码。

KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


     

    如果您有较早版本的ESXi,则必须升级。

  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

数据库服务器要求


 

创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

数据库服务器有两个选项。 每一项的要求如下:

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14、15或16,已安装并运行。

  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


     

    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站HTTPS和WSS

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有通用标识主机

  • hub.docker.com


 

只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

地区

通用标识主机URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。


       

      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。
1

确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

2

为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

3

准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

4

根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名称或IP地址(主机)和端口

    • 用于密钥存储的数据库名称(dbname)

    • 具有密钥存储数据库所有权限的用户的用户名和密码

5

为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

6

设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


 

由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

8

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

9

在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择 。(有关详细说明,请参阅《Cisco Directory Connector部署指南》


 

给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

准备您的环境

1

下载安装文件

将OVA文件下载到本地计算机以供后续使用。

2

为HDS主机创建配置ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装HDS主机OVA

从OVA文件创建虚拟机并执行初始配置,例如网络设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

4

设置混合数据安全虚拟机

登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

5

上传并挂载HDS配置ISO

从使用HDS设置工具创建的ISO配置文件配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

7

注册集群中的第一个节点

向Cisco Webex云注册VM作为混合数据安全节点。

8

创建和注册更多节点

完成群集设置。

9

运行试用并进入生产 阶段(下一章)

在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下载安装文件

在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
1

登录 https://admin.webex.com,然后单击 服务

2

在“混合服务”部分,找到混合数据安全卡,然后单击设置

如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


 

您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


 

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

3

选择表示您尚未设置节点,然后单击下一步

OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

    • 数据库凭证

    • 证书更新

    • 授权策略更改

  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

 

设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

8

在Setup Tool概述页面上,单击 Get Started

9

ISO导入页面上,您有以下选项:

  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合X.509证书要求中的要求。

  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书确定,请单击继续
  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据存储:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

  2. (仅Microsoft SQL Server)选择您的验证类型

    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

  4. 输入数据库名称

  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

12

选择 <UNK> LS数据库连接模式

模式

描述

首选 TLS(缺省选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者


 

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

13

在“系统日志”页面上,配置您的Sy 服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

    例如:
    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

    • 字节为空-- \x00

    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

app_datasource_connection_pool_maxSize: 10
15

单击重置服务帐户密码屏幕上的继续

服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

16

单击 ISO文件。 将文件保存在易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

18

要关闭设置工具,请键入 CTRL+C

下一步

备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


 

我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

4

选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

5

计算资源 页,选择目标计算资源,然后单击 下一步

运行验证检查。 完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

8

存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

9

网络 页,从条目列表中选择网络选项以提供所需的VM连接。

10

自定义模板页面上,配置以下网络设置:

  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

     

    • 您无需将域设置为与用于获取X.509证书的域匹配。

    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址 -输入节点内部接口的IP地址。

     

    节点应具有内部IP地址和DNS名称。 不支持DHCP。

  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

11

右键单击节点虚拟机,然后选择 >

混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

1

在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录和密码登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于您是首次登录VM,您需要更改管理员密码。

3

如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

4

使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

5

(可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

您无需将域设置为与用于获取X.509证书的域匹配。

6

保存网络配置并重启虚拟机,使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

1

从您的计算机上传ISO文件:

  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

  2. 在配置标签页的硬件列表中,单击存储空间

  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击“上传文件”

  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

2

安装ISO文件:

  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  2. 单击 确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

  4. 检查已连接接通电源时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分,找到混合数据安全,然后单击设置

出现注册混合数据安全节点页。
4

选择表示您已设置节点并准备好注册,然后单击下一步

5

在第一个字段中,输入要分配混合数据安全节点的集群的名称。

建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

出现一条消息,表示您可以将节点注册到Webex。
7

单击转至节点。

8

单击警告消息中的继续。

片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
9

选中允许访问您的混合数据安全节点复选框,然后单击继续

您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
10

单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

 

目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

2

在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

3

在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

4

如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

    出现“混合数据安全资源”页。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

    出现一条消息,表示您可以将节点注册到Webex云。

  6. 单击转至节点。

    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。

  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下一步

运行试用并进入生产 阶段(下一章)
运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

准备工作

设置混合数据安全群集
1

如果适用,同步 HdsTrialGroup 组对象。

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

2

激活试用

开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递给您的混合数据安全部署。

4

监控混合数据安全运行状况

检查状态并设置警报的电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

准备工作

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

1

登录 https://admin.webex.com,然后选择 服务

2

在混合数据安全下,单击设置

3

在“服务状态”部分,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

(如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

  • 设置混合数据安全部署。

  • 激活试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

1

给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


 

如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

2

将消息发送到新空间。

3

检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    您应该找到如下条目(为便于阅读而缩写的标识符):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

    您应该找到以下条目:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
1

Control Hub中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分,找到混合数据安全,然后单击设置

出现“混合数据安全设置”页。
3

在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

从试用中添加或删除用户

在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

4

输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在Service Status部分,单击 Move to Production

4

确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“停用”区域中,单击停用

4

确认您要停用服务并结束试用。

管理HDS部署

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

要设置升级安排:

1

登录到 Control Hub。

2

在“概述”页面上的混合服务下,选择混合数据安全

3

在“混合数据安全资源”页上,选择群集。

4

在右侧“概述”面板中的“集群设置”下,选择集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。


     

    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


     

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

  • 硬重设 - 旧密码立即作废。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,。 http://127.0.0.1:8080


     

    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

  8. 导入当前配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭设置工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 安装更新的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

  4. 选中开机时连接

  5. 保存您的更改并打开虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

2

删除节点:

  1. 登录Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

  3. 选择簇以显示其概述面板。

  4. 单击 节点列表

  5. 在“节点”选项卡上,选择要删除的节点。

  6. 单击 > 注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

2

配置Syslogd服务器后,单击 设置

3

高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。 


passiveMode: 'false'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

(可选)在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1

关闭其中一个HDS节点。

2

在vCenter Server 中,选择HDS节点。

3

选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

4

打开HDS节点电源,并确保至少20分钟内没有警报。

5

对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 消息和空间标题无法解密:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

警告

如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按 连接要求 Webex服务器。

续订云服务注册。

云服务的注册已取消。 正在续订注册。

云服务注册已断开。

云服务的注册已终止。 服务正在关闭。

服务尚未激活。

激活试用或完成将试用转入生产阶段。

配置的域与服务器证书不匹配。

确保服务器证书与配置的服务激活域匹配。

最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

向云服务验证失败。

检查服务帐户凭证的准确性和可能的过期时间。

打开本地密钥库文件失败。

检查本地密钥库文件的完整性和密码准确性。

本地服务器证书无效。

检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

无法发布指标。

检查外部云服务的本地网络访问。

/media/configdrive/hds目录不存在。

检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
1

查看Control Hub中的任何警告并修复您在此处找到的任何项目。

2

查看来自混合数据安全部署的系统日志服务器输出的活动。

3

请联系思科支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

使用OpenSSL生成PKCS12文件

准备工作

  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

1

当您从CA收到服务器证书时,将其另存为 hdsnode.pem

2

将证书显示为文本并验证详细信息。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

使用友好名称创建。p12文件 kms-private-key

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

下一步

返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


 

在原始证书过期时,您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 来自客户端的加密请求,由加密服务路由

  • 升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf: 

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
前言

新信息和更改信息

日期

已作更改

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

    更新了 服务器要求 主题,添加了此验证模式的其他要求。

    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。请参阅 ker桌面要求(Docker桌面要求)

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。有关详细信息,请参阅 OpenSSL生成PKCS12文件

2021年4月30日

已将本地硬盘空间的VM要求更改为30 GB。有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。请参阅(可选)取消HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO 并使用针对FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO ,并通过更改登录过程来更改节点配置

2020年8月5日

更新了测试混合数据安全部署 以了解日志消息的更改。

更新了 主机要求 以删除最大主机数量。

2020年6月16日

更新了Control Hub UI中的删除节点 更改。

2020年6月4日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020年5月29日

更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020年5月5日

更新了 主机要求 ,显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
2020年2月4日更新了 服务器要求
2019年12月16日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息:

2019 年 11 月 8 日

现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节:


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到 服务器要求

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

2019年6月13日将试用更新为生产任务流程 ,如果您的组织使用目录同步,则在开始试用之前提醒 HdsTrialGroup 组对象。
2019年3月6日
2019 年 2 月 28 日

  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。更新了 说明为HDS主机创建配置ISO

  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现支持将Microsoft SQL Server作为数据库。混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。添加了与使用SQL Server进行部署相关的内容。


     

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名:

  • Cisco Spark混合数据安全现为混合数据安全。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

2017年11月2日

  • 澄清HdsTrialGroup的目录同步。

  • 修复了上传ISO配置文件以安装到VM节点的说明。

2017年8月18日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起,数据安全就一直是设计Webex应用程序的主要重点。这种安全性的基石是端到端内容加密,通过Webex应用程序客户端与密钥管理服务(KMS)交互来实现。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

分离领域(没有混合数据安全)

为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。当用户编写要发送到空间的消息时,会执行以下步骤:

  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

  2. 消息在离开客户端之前被加密。客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

  3. 加密的消息将发送到合规性服务以进行合规性检查。

  4. 加密消息存储在存储领域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

与其他组织协作

组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS会通过ECDH安全通道向客户端发送密钥。但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。如果发生这种情况,您可以构建新的部署,但只会显示新内容。为避免失去对数据的访问权限,您必须:

  • 管理数据库和配置ISO的备份和恢复。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


 

在HDS部署后,没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础设施和安装混合数据安全软件,在试用模式下使用部分用户测试您的部署,以及在测试完成后进入生产阶段。这会将整个组织转换为将混合数据安全群集用于安全功能。

    设置、试验和生产阶段将在接下来的三章中详细介绍。

  • 您的混合数据安全部署—Webex云会自动提供持续升级。您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,则本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内,您可以将混合数据安全作为单独虚拟主机上的单个节点集群进行部署。节点通过安全Websoc 和安全HTTP与Webex云通信。

在安装过程中,我们为您提供了OVA文件,以便在您提供的VM上设置虚拟设备。您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。(您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

混合数据安全部署模型

一个簇中最多可以包含两个节点。我们建议至少三个,您最多可以五个。拥有多个节点可确保在一个节点的软件升级或其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时,节点将变为活动状态。要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

设置混合数据安全部署后,您首先使用一组试点用户进行尝试。在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。您的其他用户将继续使用云安全领域。

如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。试点用户仍可访问试用期间使用的密钥。但是,您不能在生产模式和原始试用之间来回移动。如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

用于灾难恢复的备用数据中心

在部署期间,您可以设置安全的备用数据中心。在数据中心发生灾难时,您可以手动将部署失败转移到备用数据中心。

在故障转移之前,数据中心A拥有活动的HDS节点和主PostgreSQL或Microsoft SQL Server数据库,而B拥有包含其他配置的ISO文件副本、已注册到组织的VM以及备用数据库。故障转移后,数据中心B拥有活动的HDS节点和主数据库,而A拥有未注册VM和ISO文件副本,并且数据库处于待机模式。
手动故障转移到待机数据中心

活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。因此,备用数据中心的节点始终保持最新版本的HDS软件。


 

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置用于灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件:

准备工作

  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心 ,了解此故障转移模型的概述。)

  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


 

ISO文件必须是要对其进行以下配置更新的主数据中心的原始ISO文件的副本。

2

配置Syslogd服务器后,单击高级设置

3

设置 上,添加下面的配置以将节点置于被动模式。在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

 被动模式:“真”

4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1 ,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接” ,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志以验证节点是否处于被动模式。您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

在ISO文件中配置 passiveMode 并保存后,您可以创建不使用 passiveMode 配置的ISO文件的另一个副本,并将其保存到安全的位置。此未配置 Mode 的ISO文件副本有助于灾难恢复期间的快速故障转移过程。请参阅使用待机数据中心的灾难恢复 ,了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果不使用HDS节点设置信任存储和代理配置以集成代理,则默认值。无需证书更新。

  • 透明不检查代理—节点未配置为使用特定代理服务器地址,无需任何更改即可使用不检查代理。无需证书更新。

  • 隧道或检查代理—节点未配置为使用特定代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 代理—使用显式代理,您可以告诉HDS节点要使用哪个代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. IP/FQDN—可用于连接代理机器的地址。

    2. 端口—代理用来侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 验证类型—从以下验证类型中选择:

      • —无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理,在发出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 摘要—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Docker Desktop要求

安装HDS节点之前,您需要Docker Desktop运行安装程序。Docker最近更新了他们的许可模式。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求:

图表 1。 混合数据安全部署的X.509证书要求

要求

的详细信息

  • 由受信任的证书颁发机构(CA)签名

缺省情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

  • 标识混合数据安全部署的公用名(CN)域名

  • 不是通配符证书

CN无需可接通或为实时主持人。我们建议您使用能反映您组织的名称,例如:hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

使用此证书注册节点后,我们不支持更改CN域名。选择可以同时应用于试用和生产部署的域。

  • 非SHA1签名

KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

  • 格式化为受密码保护的PKCS #12文件

  • 使用 kms-private-key 这一友好名称来标记证书、私钥以及要上传的任何中间证书。

您可以使用转换器(例如OpenSSL)来更改证书的格式。

运行HDS设置工具时,您需要输入密码。

KMS软件不会强制执行密钥使用或扩展密钥使用限制。有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。可以使用服务器验证或其他设置。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


     

    如果您有较早版本的ESXi,则必须升级。

  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

数据库服务器要求


 

创建密钥存储的新数据库。请勿使用默认数据库。HDS应用程序安装后,创建数据库架构。

数据库服务器有两个选项。每种方法的要求如下:

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14、15或16,已安装并运行。

  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


     

    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

  • 提供给HDS节点的Windows帐户必须对数据库具有读/写访问权限。

  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。请参阅注册Kerberos连接的服务主体名称

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站HTTPS和WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有通用标识主机

  • Webex混合服务的其他 URLWebex服务的网络要求表格中列出了用于混合数据安全的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有通用标识主机

  • hub.docker.com


 

只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

通用标识(CI)主机的URL是区域特定的。以下是当前的CI主持人:

地区

通用标识主机URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。


       

      检查HTTPS流量的Squid代理可能会干扰websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid Proxies

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。
1

确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

2

为您的HDS部署选择域名(例如,hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须满足X.509证书要求中的要求。

3

准备要在群集中设置为混合数据安全节点的相同虚拟主机。您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

4

根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。数据库服务器必须与虚拟主机共享在安全数据中心。

  1. 创建密钥存储数据库。(必须创建此数据库-不要使用默认数据库。HDS应用程序安装后,创建数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名称或IP地址(主机)和端口

    • 用于密钥存储的数据库名称(dbname)

    • 具有密钥存储数据库所有权限的用户的用户名和密码

5

为了快速恢复灾难,请在其他数据中心设置备份环境。备份环境映射虚拟机和备份数据库服务器的生产环境。例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

6

设置系统日志主机以从群集中的节点收集日志。收集其网络地址和系统日志端口(默认为UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


 

由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。虽然暂时停电无法预防,但它们是可以恢复的。但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

8

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

9

在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位,或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在 http://127.0.0.1:8080. 访问的Web浏览器。

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker Desktop许可证。有关更多信息,请参阅 ker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果您的组织使用目录同步,请在名为 HdsTrialGroup的Active Directory中创建一个组,并添加试点用户。试用组最多可以有250个用户。必须先将 HdsTrialGroup 对象同步到云端,然后才能为您的组织启动试用。要同步组对象,在Directory Connector的 > Selection 菜单中选择该对象。(有关详细说明,请参阅《Cisco目录连接器部署指南》。


 

给定空间的键由空间创建者设置。在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

准备您的环境

1

下载安装文件

将OVA文件下载到本地计算机以供后续使用。

2

为HDS主机创建配置ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装HDS主机OVA

从OVA文件创建虚拟机并执行初始配置,例如网络设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

4

设置混合数据安全虚拟机

登录到VM控制台并设置登录凭证。如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

5

上传并挂载HDS配置ISO

从使用HDS设置工具创建的ISO配置文件配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

7

注册集群中的第一个节点

向Cisco Webex云注册VM作为混合数据安全节点。

8

创建和注册更多节点

完成群集设置。

9

运行试用并转入生产 (下一章)

在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下载安装文件

在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。该文件可用于后续的安装过程。
1

登录 https://admin.webex.com,然后单击 服务

2

在“混合服务”部分,找到混合数据安全卡,然后单击设置

如果卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


 

您也可以随时从设置 页面上的帮助 部分下载OVA。在混合数据安全卡上,单击编辑设置 以打开页面。然后,单击帮助 部分中的下载混合数据安全软件


 

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。升级应用程序时可能会出现问题。确保下载OVA文件的最新版本。

3

选择 表示您尚未设置节点,然后单击下一步

OVA文件会自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南(Open Deployment Guide) 以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。然后使用ISO配置混合数据安全主机。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    _ 席_ _ =http://SERVER_ :端口

    无身份验证的 HTTPS 代理

    _ 席_ _ =http://SERVER_ :PORT

    有身份验证的 HTTP 代理

    _ 席_ _ =http:// :PASSWORD@SERVER_ :PORT

    有身份验证的 HTTPS 代理

    _ 席_ _ =http:// :PASSWORD@SERVER_ :PORT

  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。在进行配置更改时,您需要该文件的最新副本,例如:

    • 数据库凭证

    • 证书更新

    • 授权策略更改

  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-set:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-feramp:稳定

 

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录- u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitcit/hds-设置:稳定

在 FedRAMP 环境中:

docker牵引ciscocitg/hds-setup-feramp:稳定
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_座席_HTTP_  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP:STABLE

  • 在使用HTTPS代理的常规环境中:

     ker运行-p 8080:8080 --rm -it -e全局_ 席_ _  =HTTP://SERVER_  :PORT CISCOCITG/HDS-SETUP:STABLE

  • 在无代理的 FedRAMP 环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup-feramp:稳定

  • 在有 HTTP 代理的 FedRAMP 环境中:

     ker run -p 8080:8080 --rm -it -e全局_ 席_ _  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP-FERAMP:STABLE

  • 在有 HTTPS 代理的 FedRAMP 环境中:

     ker run-p 8080:8080 --rm -it -e全局_ 席_ _  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP-FERAMP:STABLE

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

 

设置工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost,http://127.0.0.1:8080并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。该工具随后会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录 以允许访问混合数据安全所需的服务。

8

在Setup Tool概述页面上,单击 Get Started

9

ISO导入 页面上,您有以下选项:

  • —如果您要创建第一个HDS节点,则没有要上传的ISO文件。
  • —如果您已经创建了HDS节点,则在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合X.509证书要求中的要求。

  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书确定,请单击继续
  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据存储:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

  2. (仅Microsoft SQL Server )选择您的验证类型

    • 验证:您需要在 字段中提供本地SQL Server帐户名称。

    • 验证:您需要在 Username 字段中有 @DOMAIN 格式的Windows帐户。

  3. 数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

    如果您使用的是Windows验证,则必须以格式输入完全限定域名dbhost.example.org:1433

  4. 输入数据库名称

  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

12

选择 LS数据库连接模式

模式

描述

首选TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

 

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。如果不匹配,节点将断开连接。

  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

13

在“系统日志”页面上,配置您的Sy 服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

    示例:
    p://10.92.43.23 :514表示在UDP端口514上对Syslogd主机10.92.43.23进行日志记录。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如tcp://10.92.43.23:514

  3. 选择系统日志记录终止 下拉列表中,为您的ISO文件选择适当的设置:Select或Newline用于Graylog和Rsyslog TCP

    • 字节为空-- \x00

    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一可能要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重置服务帐户密码 屏幕上的继续

服务帐户密码的有效期为九个月。当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时,请使用此屏幕。

16

单击 ISO文件。将文件保存在易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

18

要关闭设置工具,请输入 CTRL+C

下一步

备份配置ISO文件。您需要它来创建更多用于恢复的节点,或进行配置更改。如果丢失ISO文件的所有副本,您也会丢失主密钥。无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


 

我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的OVA文件的位置,然后单击下一步

4

在“选择名称和文件夹 ”页面上,输入节点的虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可以驻留的位置,然后单击“下一步”

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果系统要求您在配置 页面上选择资源配置,请单击 4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,以提供所需的VM连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名 -输入FQDN(主机名和域)或节点的单字主机名。

     

    • 您无需将域设置为与用于获取X.509证书的域匹配。

    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • 地址 -输入节点内部接口的IP地址。

     

    节点应具有内部IP地址和DNS名称。不支持DHCP。

  • —以点数表示输入子网掩码地址。例如,255.255.255.0
  • —输入网关IP地址。网关是一个网络节点,可作为另一个网络的接入点。
  • NS服务器—输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • TP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。缺省NTP服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。该选项在早期版本中可能不可用。

11

右键单击节点虚拟机,然后选择 >

混合数据安全软件作为访客安装在VM主机上。现在,您可以登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

1

在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台 选项卡。

VM启动并显示登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录和密码登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于您是首次登录VM,您需要更改管理员密码。

3

如果您已经在安装HDS Host OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

使用IP地址、掩码、网关和DNS信息设置静态配置。节点应具有内部IP地址和DNS名称。不支持DHCP。

5

(可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

您无需将域设置为与用于获取X.509证书的域匹配。

6

保存网络配置并重启虚拟机,使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。请确保只有这些管理员可以访问数据存储。

1

从您的计算机上传ISO文件:

  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

  2. 在配置标签页的硬件列表中,单击存储空间

  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击“上传文件”

  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

  6. 单击是(Yes) 接受上传/下载操作警告,并关闭数据存储对话框。

2

安装ISO文件:

  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  2. 单击 确定 以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

  4. 检查已连接接通电源时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。请参阅(可选)取消HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理 -集成代理之前的默认选项。无需证书更新。
  • 透明不检查代理—节点未配置为使用特定代理服务器地址,无需任何更改即可使用不检查代理。无需证书更新。
  • 检查代理—节点未配置为使用特定代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,您可以告诉客户端(HDS节点)要使用哪个代理服务器,并且此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. IP/FQDN—可用于连接代理机器的地址。

    2. 端口—代理用来侦听代理流量的端口号。

    3. 协议—选择 (查看和控制从客户端收到的所有请求)或 (提供到服务器的通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 验证类型—从以下验证类型中选择:

      • —无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理,在发出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 摘要—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。簇包含一个或多个用于提供冗余的节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分,找到混合数据安全,然后单击设置

出现注册混合数据安全节点页。
4

选择 表示您已设置节点并准备好注册,然后单击下一步

5

在第一个字段中,输入要分配混合数据安全节点的集群的名称。

建议您基于群集节点的地理位置来命名该群集。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

出现一条消息,表示您可以将节点注册到Webex。
7

单击“转至节点”。

8

单击警告消息中的“继续”。

片刻之后,您将被重定向到Webex服务的节点连接测试。如果所有测试均成功,将出现允许访问混合数据安全节点页。在此,您确认要向Webex组织授予访问您节点的权限。
9

选中允许访问您的混合数据安全节点 复选框,然后单击继续

您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
10

单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

数据安全 上,会显示包含您注册的节点的新群集。节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。我们建议您至少拥有3个节点。

 

目前,您在完成混合数据安全的先决条件 中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。有关详细信息,请参阅使用待机数据中心的灾难恢复

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

2

在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

3

在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

4

如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择 “服务”

  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

    出现“混合数据安全资源”页。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

    出现一条消息,表示您可以将节点注册到Webex云。

  6. 单击“转至节点”。

    片刻之后,您将被重定向到Webex服务的节点连接测试。如果所有测试均成功,将出现允许访问混合数据安全节点页。在此,您确认要向组织授予访问节点的权限。

  7. 选中允许访问您的混合数据安全节点 复选框,然后单击继续

    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

节点已注册。请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下一步

运行试用并转入生产 (下一章)
运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

准备工作

设置混合数据安全群集
1

如果适用,同步 dsTrialGroup 组对象。

如果您的组织对用户使用目录同步,则必须选择 dsTrialGroup 组对象同步到云,然后才能开始试用。有关说明,请参阅《Cisco目录连接器 指南》。

2

激活试用

开始试用。在执行此任务之前,节点将生成警报,指示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递给您的混合数据安全部署。

4

监控混合数据安全运行状况

检查状态并设置警报的电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

准备工作

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 组对象同步到云,然后才能为您的组织启动试用。有关说明,请参阅《Cisco目录连接器 指南》。

1

登录 https://admin.webex.com,然后选择 服务

2

在混合数据安全下,单击设置

3

在“服务状态”区域中,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户 ,输入要试用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

(如果您的组织使用目录同步,请使用Active Directory管理试用组 HdsTrialGroup。)

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

  • 设置混合数据安全部署。

  • 激活试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

1

给定空间的键由空间创建者设置。作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


 

如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

2

将消息发送到新空间。

3

检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

  1. 要首先建立到KMS的安全通道来检查用户,请对 kms.data.method=createkms.data.type=EPHEMERAL_KEY_collection进行筛选:

    您应该找到如下条目(为便于阅读而缩写的标识符):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] -已收到[KMS:REQUEST],设备标识:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.lisn.us/static /3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_  ACKINGID=HdsIntest_dT[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.lisn.us.us, kms.data.type=临时_密钥_收集, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.lisn.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY上进行筛选:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [pool-14-thread-31] -已收到[KMS:REQUEST],设备标识:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.lisn.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_  ACKINGID=HdsIntest_fT[~]0, kms.data.method=检索,kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com,  ms.data.type=KEY,kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/ /d[~]2, kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_ 上进行筛选:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] -已收到[KMS:REQUEST],设备标识:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.lisn.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_  ACKINGID=HdsIntest_T4[~]0,  ms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null,  ms.data.type=KEY_ , kms.data.requestId=6[~]4, kms.data.uri=/key, kms.data.userId=1[~]b

  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=资源_COLLECTION上进行筛选:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] -已收到[KMS:REQUEST],设备标识:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.lisn.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_  ACKINGID=HdsIntest_dT[~]0, kms.data.method=create, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_集合, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。要更主动地警报,请注册电子邮件通知。出现影响服务的警报或软件升级时,您将收到通知。
1

Control Hub中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分,找到混合数据安全,然后单击设置

出现“混合数据安全设置”页。
3

在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组 HdsTrialGroup;您可以在Control Hub中查看组成员,但无法添加或删除他们。

1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑 将用户从试用中删除。

4

输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。然后单击保存

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时,您可以进入生产阶段。进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。重新激活该服务需要您设置新的试用。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在Service Status部分,单击 Move to Production

4

确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用期间加密的数据。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“停用”区域中,单击停用

4

确认您要停用服务并结束试用。

管理HDS部署

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级安排:

1

登录到 Control Hub。

2

在“概述”页面上的混合服务下,选择混合数据安全

3

在“混合数据安全资源”页上,选择群集。

4

在右侧“概述”面板中的“集群设置”下,选择集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击推迟,将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。


     

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


     

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—旧密码和新密码的有效期均长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    _ 席_ _ =http://SERVER_ :端口

    无身份验证的 HTTPS 代理

    _ 席_ _ =http://SERVER_ :PORT

    有身份验证的 HTTP 代理

    _ 席_ _ =http:// :PASSWORD@SERVER_ :PORT

    有身份验证的 HTTPS 代理

    _ 席_ _ =http:// :PASSWORD@SERVER_ :PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-set:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-feramp:稳定

     

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录- u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitcit/hds-设置:稳定

    在 FedRAMP 环境中:

    docker牵引ciscocitg/hds-setup-feramp:稳定

     

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_座席_HTTP_  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP:STABLE

    • 在有 HTTPS 代理的常规环境中:

       ker运行-p 8080:8080 --rm -it -e全局_ 席_ _  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP:STABLE

    • 在无代理的 FedRAMP 环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup-feramp:稳定

    • 在有 HTTP 代理的 FedRAMP 环境中:

        KER RUN-P 8080:8080 --RM -IT -E全局_ _ _  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP-FERAMP:STABLE

    • 在有 HTTPS 代理的 FedRAMP 环境中:

       ker run-p 8080:8080 --rm -it -e全局_ 席_ _  =http://SERVER_  :PORT CISCOCITG/HDS-SETUP-FERAMP:STABLE

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080


     

    设置工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接到localhost。

  7. 出现提示时,输入您的Control Hub客户登录凭证,然后单击 Accept 继续。

  8. 导入当前配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭设置工具,请输入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

只运行一个HDS节点,请创建新的混合数据安全节点VM,并使用新的配置ISO文件注册。有关更多详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 安装更新的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择用于从 ISO 文件进行安装的选项,然后浏览到您下载新的配置 ISO 文件的位置。

  4. 选中开机时连接

  5. 保存您的更改并打开虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 您为节点设置的管理员凭证,然后单击 In

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

2

删除节点:

  1. 登录Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示“混合数据安全资源”页。

  3. 选择簇以显示其概述面板。

  4. 单击打开节点列表

  5. 在“节点”选项卡上,选择要删除的节点。

  6. 单击 > 注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

如果不删除VM,请记得卸载配置ISO文件。如果没有ISO文件,您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。为防止此类损失,必须采取以下措施:

如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置或删除 passiveMode 配置以使节点处于活动状态。配置后,节点可以处理流量。

 被动模式:“假”

4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。确保备份副本的安全。该文件包含数据库内容的主加密密钥。仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1 ,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接” ,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志输出,以验证备用数据中心的节点未处于被动模式。“被动模式下配置的KMS”不应出现在系统日志中。

下一步

故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

(可选)在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。但是,有些客户不希望ISO文件连续安装。您可以在所有HDS节点接受新配置后卸载ISO文件。

仍使用ISO文件进行配置更改。当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1

关闭其中一个HDS节点。

2

在vCenter Server 中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消选中数据存储器ISO文件

4

打开HDS节点电源,并确保至少20分钟内没有警报。

5

对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。如果用户无法访问混合数据安全群集,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 消息和空间标题无法解密:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

警告

如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。警报涵盖了许多常见的场景。

表 1。 常见问题及其解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按 连接要求 Webex服务器。

续订云服务注册。

云服务的注册已取消。正在续订注册。

云服务注册已断开。

云服务的注册已终止。服务正在关闭。

服务尚未激活。

激活试用或完成将试用转入生产阶段。

配置的域与服务器证书不匹配。

确保服务器证书与配置的服务激活域匹配。

最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

向云服务验证失败。

检查服务帐户凭证的准确性和可能的过期时间。

打开本地密钥库文件失败。

检查本地密钥库文件的完整性和密码准确性。

本地服务器证书无效。

检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

无法发布指标。

检查外部云服务的本地网络访问。

/media/configdrive/hds目录不存在。

检查虚拟主机上的ISO安装配置。验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
1

查看Control Hub中的任何警告并修复您在此处找到的任何项目。

2

查看来自混合数据安全部署的系统日志服务器输出的活动。

3

请联系思科支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。这适用于试用版和量产版部署。我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

    当您为组织将试用转入生产模式时,也会发生相同的行为。所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

使用OpenSSL生成PKCS12文件

准备工作

  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。请先了解这些要求,然后再继续。

  • 在支持的环境中安装OpenSSL。请参阅https://www.openssl.org 软件和文档。

  • 创建私有密钥。

  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

1

从CA收到服务器证书后,将其另存为 hdsnode.pem

2

将证书显示为文本并验证详细信息。

openssl x509 -text -noout-in hds 。pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书:

-----开始证书-----###服务器证书### -----结束证书--------开始证书----- ###中间CA证书。 ### -----结束证书--------开始证书----- ###根CA证书。 ### -----结束证书----

4

使用友好名称创建。p12文件kms-私有密钥

openssl pkcs12 -export -inkey hds 。key -in hdsnode- 。pem -name kms-私钥-caname kms-私钥-outhds 。p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -在hds 。p12中

  2. 在提示处输入密码以加密私钥,使其在输出中列出。然后,验证私钥和第一个证书是否包含线路 名称:kms-私有密钥

    示例:

    bash$ openssl pkcs12 -在hds 。p12输入导入密码:MAC已验证OK Bag属性 名称:kms-private-key local KeyID:54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性:输入PEM密码短语:正在验证-输入PEM通行证短语:-----开始加密私钥----  -----结束加密私钥----- Bag属性 名称:kms-private-key local KeyID:54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.lisn.us =/C=US/O=Lets Encrypt/CN=Lets Encrypt Authority X3 -----START CERTIFICATE ----  -----END CERTIFICATE ----- Bag属性友好Name:CN=Let’S EncryPT Authority X3,O=Let’s Encrypt,C=US subject=/C=US/O=Let’s Encrypt/CN=LET’S Encrypt Authority X3 =/O=Digital Signature Trust Co./CN=DST根CA X3 -----START CERTIFICATE ----  -----END CERTIFICATE -----

下一步

返回到完成混合数据安全的前提条件。您将在“为HDS主机创建配置ISO ”(Create a Configuration ISO for the HDS主机)中使用hds 。p12文件以及为其设置的密码。


 

在原始证书过期时,您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

混合数据安全节点将某些指标发送到Webex云。其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。节点通过带外(与请求分离)通道发送加密密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 来自客户端的加密请求,由加密服务路由

  • 升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全所需的websocket ( ss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 添加到 id.conf

on_unsupported_protocol 全部隧道

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl:server_name_regex 汞ssl_bump 连接拼接wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 at_step 3ssl_bump lBump3ssl_bump step2ssl_bump p3 all
前言

新信息和更改信息

日期

已作更改

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

  • HDS节点现在可以对Microsoft SQL Server使用Windows验证。

    更新了 服务器要求 主题,添加了此验证模式的其他要求。

    更新了使用在节点上配置Windows验证的程序 HDS主机 的配置ISO。

  • 使用新的最低要求版本(PostgreSQL 10)更新了 服务器要求 主题。

2021 年 10 月 13 日

Docker Desktop需要运行安装程序才能安装HDS节点。 请参阅 ker桌面要求(Docker桌面要求)

2021 年 6 月 24 日

注意到您可以重用私有密钥文件和CSR请求其他证书。 有关详细信息,请参阅 OpenSSL生成PKCS12文件

2021 年 4 月 30 日

已将本地硬盘空间的VM要求更改为30 GB。 有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。 请参阅 HDS主机的配置ISO 了解详细信息。

2021 年 2 月 2 日

HDS现在无需挂载ISO文件即可运行。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

2021年1月11日

添加了有关HDS设置工具和代理 HDS主机配置ISO 的信息。

2020 年 10 月 13 日

更新了下载安装文件

2020 年 10 月 8 日

更新了为HDS主机创建配置ISO并使用针对FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

更新了为HDS主机创建配置ISO,并通过更改登录过程来更改节点配置

2020 年 8 月 5 日

更新了测试混合数据安全部署以了解日志消息的更改。

更新了 主机要求 以删除最大主机数量。

2020 年 6 月 16 日

更新了Control Hub UI中的删除节点更改。

2020 年 6 月 4 日

更新了为HDS主机创建配置ISO 以在您可能设置的高级设置中进行更改。

2020 年 5 月 29 日

更新了为HDS主机 配置ISO ,以显示您还可以将TLS与SQL Server数据库、UI更改和其他澄清一起使用。

2020 年 5 月 5 日

更新了 主机要求 ,显示ESXi 6.5的新要求。

2020 年 4 月 21 日

更新了新的美洲CI主机的外部连接要求

2020 年 4 月 1 日

更新了有关区域CI主机的外部连接要求

2020 年 2 月 20 日更新了 HDS主机的配置ISO 以及HDS设置工具新的可选高级设置屏幕上的信息。
2020年2月4日更新了 服务器要求
2019 年 12 月 16 日阐明了阻止外部DNS解析模式在代理服务器要求中工作的要求。
2019 年 11 月 19 日

在以下部分中添加了有关阻止的外部DNS解析模式的信息:

2019 年 11 月 8 日

现在,您可以在部署OVA时而不是在之后为节点配置网络设置。

相应更新了以下各节:


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

2019 年 9 月 6 日

将SQL Server标准版添加到 服务器要求

2019 年 8 月 29 日添加了 Squid Proxies for Hybrid Data Security 附录,附带有关配置Squid代理以忽略Websocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加并更新了部分,以涵盖对混合数据安全节点与Webex云通信的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全的 支持和Webex视频网 帮助文章。

2019年6月13日将“ 试用版”更新为“生产任务流程”,并提醒您同步 HdsTrialGroup 如果您的组织使用目录同步,则在开始试用之前对对象进行分组。
2019年3月6日
2019 年 2 月 28 日

  • 更正了在准备成为混合数据安全节点的虚拟主机时应预留的每台服务器本地硬盘空间量,从50 GB到20 GB,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与支持TLS的系统日志服务器的加密日志连接。 更新了 说明为HDS主机创建配置ISO

  • 从“混合数据安全节点VM的互联网连接要求”表中删除了目标URL。 该表格现在指 bex Teams服务的网络要求“Webex Teams混合服务的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现支持将Microsoft SQL Server作为数据库。 混合数据安全中使用的JDBC驱动程序支持SQL Server始终打开(始终打开故障转移集群和始终打开可用性组)。 添加了与使用SQL Server进行部署相关的内容。


     

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。 目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

更改了术语以反映Cisco Spark的更名:

  • Cisco Spark混合数据安全现为混合数据安全。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton Cloud现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • <UNK> 。509证书要求 表中指定证书不能是通配符证书,并且KMS使用CN域,而不是x.509v3 SAN字段中定义的任何域。

2018 年 1 月 18 日

2017年11月2日

  • 澄清HdsTrialGroup的目录同步。

  • 修复了上传ISO配置文件以安装到VM节点的说明。

2017 年 8 月 18 日

首次发布

混合数据安全入门

混合数据安全概述

从第一天起,数据安全就一直是设计Webex应用程序的主要重点。 这种安全性的基石是端到端内容加密,通过Webex应用程序客户端与密钥管理服务(KMS)交互来实现。 KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

缺省情况下,所有Webex应用程序客户都可以使用存储在云KMS中的Cisco安全领域中的动态密钥进行端到端加密。 混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全领域体系结构

Webex云架构将不同类型的服务划分为不同的领域或信任域,如下所示。

分离领域(没有混合数据安全)

为了进一步了解混合数据安全,我们先看一下这个纯云案例,Cisco在其云领域中提供所有功能。 身份服务是用户唯一可以直接与其个人信息(如电子邮件地址)关联的地方,在逻辑上和物理上都与数据中心B的安全领域分开。两者反过来又与数据中心C中加密内容最终存储的领域分开。

在此图中,客户端是运行在用户笔记本电脑上的Webex应用程序,并已通过身份服务进行身份验证。 当用户编写要发送到空间的消息时,将执行以下步骤:

  1. 客户端与密钥管理服务(KMS)建立安全连接,然后请求密钥对消息进行加密。 安全连接使用ECDH,KMS使用AES-256主密钥加密密钥。

  2. 消息在离开客户端之前被加密。 客户端将其发送到索引服务,该服务创建加密的搜索索引,以帮助将来搜索内容。

  3. 加密的消息将发送到合规性服务以进行合规性检查。

  4. 加密消息存储在存储领域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至本地数据中心。 构成Webex的其他云服务(包括身份和内容存储)仍保留在Cisco的领域。

与其他组织协作

组织中的用户可能会经常使用Webex应用程序与其他组织中的外部参加者协作。 当您的一个用户请求为您的组织拥有的空间提供密钥(因为该空间由您的一个用户创建)时,您的KMS将通过ECDH安全通道向客户端发送密钥。 但是,当其他组织拥有空间密钥时,您的KMS会通过单独的ECDH通道将请求路由到WeBEX云,以便从相应的KMS获取密钥,然后将密钥返回给原始通道上的用户。

在组织A上运行的KMS服务使用x.509 PKI证书验证与其他组织中的KMS的连接。 有关生成x.509证书以配合混合数据安全部署使用的详细信息,请参阅准备您的环境

对部署混合数据安全的期望

混合数据安全部署需要客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失您为混合数据安全构建的配置ISO或您提供的数据库将导致密钥丢失。 密钥丢失可防止用户对Webex应用程序中的空间内容和其他加密数据进行解密。 如果发生这种情况,您可以构建新的部署,但只会显示新的内容。 为避免失去对数据的访问权限,您必须:

  • 管理数据库和配置ISO的备份和恢复。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。


 

在HDS部署后,没有将密钥移回云的机制。

高层设置过程

本文档介绍了混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础结构和安装混合数据安全软件,在试用模式下使用部分用户对部署进行测试,以及在测试完成后进入生产阶段。 这会将整个组织转换为将混合数据安全群集用于安全功能。

    设置、试验和生产阶段将在接下来的三章中详细介绍。

  • 维护混合数据安全部署— Webex云会自动提供持续升级。 您的IT部门可以为此部署提供一级支持,并根据需要聘请Cisco支持人员。 您可以使用屏幕通知并在Control Hub中设置基于电子邮件的警告。

  • 了解常见警报、故障诊断步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南最后一章和已知问题附录可以帮助您确定和修复问题。

混合数据安全部署模型

在企业数据中心内,您可以将混合数据安全作为单个节点集群部署在单独的虚拟主机上。 节点通过安全Websoc 和安全HTTP与Webex云通信。

在安装过程中,我们为您提供OVA文件,以便在您提供的VM上设置虚拟设备。 您可以使用HDS设置工具创建安装在每个节点上的自定义群集配置ISO文件。 混合数据安全群集使用您提供的Syslogd Server和PostgreSQL或Microsoft SQL Server数据库。 (您可以在HDS设置工具中配置Sy 和数据库连接详细信息。)

混合数据安全部署模型

一个簇中最多可包含两个节点。 我们建议至少三个,您最多可以五个。 拥有多个节点可确保在软件升级或节点上的其他维护活动期间服务不会中断。(Webex云一次只升级一个节点。)

群集中的所有节点访问同一密钥数据存储,并将活动记录到同一系统日志服务器。 节点本身是无状态的,并根据云的指示以轮询的方式处理关键请求。

当您在Control Hub中注册节点时,节点将变为活动状态。 要使单个节点退出服务,您可以取消注册,然后根据需要重新注册。

我们只支持每个组织一个集群。

混合数据安全试验模式

设置混合数据安全部署后,您首先使用一组试点用户进行尝试。 在试用期内,这些用户将本地部署的混合数据安全域用于加密密钥和其他安全领域服务。 您的其他用户将继续使用云安全领域。

如果您决定在试用期间不继续部署并停用服务,则试点用户及其在试用期间通过创建新空间与之交互的任何用户将无法访问消息和内容。 他们将在Webex应用程序中看到“此消息无法解密”。

如果您对您的部署在试用用户中效果良好感到满意,并准备将混合数据安全扩展到所有用户,可将部署转入生产阶段。 试点用户仍可访问试用期间使用的密钥。 但是,您不能在生产模式和原始试用之间来回移动。 如果您必须停用该服务(例如执行灾难恢复),当您重新激活时,您必须开始新的试用并为新的试用设置一组试用用户,然后再回到生产模式。 此时用户是否保留对数据的访问权取决于您是否成功维护了群集中混合数据安全节点的密钥数据存储和ISO配置文件的备份。

用于灾难恢复的备用数据中心

在部署期间,您可以设置安全的备用数据中心。 在数据中心发生灾难时,您可以手动将部署失败到备用数据中心。

Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
手动故障转移到待机数据中心

活动数据中心和备用数据中心的数据库相互同步,从而最大限度地减少执行故障转移所需的时间。 备用数据中心的ISO文件将更新为其他配置,以确保节点已注册到组织,但不会处理流量。 因此,备用数据中心的节点始终保持最新版本的HDS软件。


 

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复的备用数据中心

按照以下步骤配置备用数据中心的ISO文件:

准备工作

  • 备用数据中心应镜像虚拟机的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。 例如,如果生产中有3个运行HDS节点的VM,则备份环境应该有3个VM。(请参阅用于灾难恢复的待机数据中心,了解此故障转移模型的概述。)

  • 确保在主动和被动群集节点的数据库之间启用数据库同步。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。


 

ISO文件必须是要对其进行以下配置更新的主数据中心原始ISO文件的副本。

2

配置Syslogd服务器后,单击 设置

3

设置 上,添加下面的配置以将节点置于被动模式。 在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。


passiveMode: 'true'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志以验证节点是否处于被动模式。 您应该能够在系统日志中查看消息“KMS配置为被动模式”。

下一步

配置后 passiveMode 在ISO文件中保存,您可以创建该ISO文件的另一个副本 passiveMode 并将其保存在安全的位置。 该ISO文件的副本 passiveMode 配置有助于在灾难恢复期间快速进行故障转移。 请参阅 使用待机数据中心的灾难恢复,了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。 您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。 您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理 - 如果您不使用 HDS 节点设置“信任库和代理”配置来集成代理,这是缺省选项。 无需证书更新。

  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。

  • 透明隧道或检查代理 - 节点没有配置为使用特定代理服务器地址。 无需在节点上进行任何 HTTP 或 HTTPS 配置更改。 但是,节点需要根证书,以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理 - 使用显式代理时,您可以告诉 HDS 节点要使用哪个代理服务器和验证方案。 要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 根据代理服务器支持的内容,选择以下协议之一:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。 客户端接收并验证服务器的证书。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。 对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。 在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Cisco Webex许可证要求

要部署混合数据安全:

Docker Desktop要求

安装HDS节点之前,您需要Docker Desktop运行安装程序。 Docker最近更新了他们的许可模式。 您的组织可能需要付费订阅Docker Desktop。 有关详细信息,请参阅Docker博客帖子“ ker正在更新和延长我们的产品订阅”。

X.509证书要求

证书链必须满足以下要求:

表 1. 混合数据安全部署的X.509证书要求

要求

详细信息

  • 由受信任的证书颁发机构(CA)签名

默认情况下,我们信任Mozilla列表中的CA(WoSign和StartCom除外),网址为 https://wiki.mozilla.org/CA:IncludedCAs

  • 标识混合数据安全部署的公用名(CN)域名

  • 不是通配符证书

CN无需可接通或为实时主持人。 我们建议您使用反映您的组织的名称,例如, hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。 群集中的所有混合数据安全节点都使用相同的证书。 您的KMS使用CN域标识自己,而不是x.509v3 SAN字段中定义的任何域。

使用此证书注册节点后,我们不支持更改CN域名。 选择可以同时应用于试用版和生产版部署的域。

  • 非SHA1签名

KMS软件不支持用于验证与其他组织KMS的连接的sha1签名。

  • 格式化为受密码保护的PKCS #12文件

  • 使用昵称: kms-private-key 来标记证书、私钥以及要上传的任何中间证书。

您可以使用转换器(例如OpenSSL)来更改证书的格式。

运行HDS设置工具时,您需要输入密码。

KMS软件不会强制执行密钥使用或扩展密钥使用限制。 有些证书颁发机构要求对每个证书应用扩展密钥使用限制,例如服务器身份验证。 可以使用服务器验证或其他设置。

虚拟主持人要求

您将在群集中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少有两个独立的主机(推荐3个)位于同一个安全数据中心

  • 已安装并正在运行的VMware ESXi 6。5(或更高版本)。


     

    如果您有较早版本的ESXi,则必须升级。

  • 每台服务器至少有4个vCPU,8-GB主内存,30 GB本地硬盘空间

数据库服务器要求


 

创建密钥存储的新数据库。 请勿使用默认数据库。 HDS应用程序安装后,创建数据库架构。

数据库服务器有两个选项。 每一项的要求如下:

表 2. 按数据库类型划分的数据库服务器要求

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14、15或16,已安装并运行。

  • 已安装SQL Server 2016、2017或2019(企业版或标准版)。


     

    SQL Server 2016需要Service Pack 2和累积Update 2或更高版本。

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

至少8个vCPU、16 GB主内存、足够的硬盘空间和监控,以确保其不超过上限(如果要长时间运行数据库而不需要增加存储空间,建议使用2TB)

HDS软件当前安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

Microsoft SQL Server

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动程序版本支持SQL Server Always On(Always On故障转移群集实例Always On可用性组)。

针对Microsoft SQL Server进行Windows验证的其他要求

如果您希望HDS节点使用Windows验证来访问Microsoft SQL Server上的密钥库,则需要在您的环境中进行以下配置:

  • HDS节点、Active Directory基础结构和MS SQL Server都必须与NTP同步。

  • 提供给HDS节点的Windows帐户必须具有对数据库的读/写访问权限。

  • 您提供给HDS节点的DNS服务器必须能够解析您的密钥分销中心(KDC)。

  • 您可以在Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主体名称(SPN)。 请参阅注册Kerberos连接的服务主体名称

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows验证来访问密钥库数据库。 在请求通过Kerberos验证访问时,他们会使用ISO配置中的详细信息构建SPN。

外部连接要求

配置防火墙以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站HTTPS和WSS

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有通用标识主机

  • hub.docker.com


 

只要NAT或防火墙允许到上表中的域目标所需的出站连接,混合数据安全节点可与网络访问转换(NAT)或防火墙后使用。 对于入站到混合数据安全节点的连接,互联网上不应显示任何端口。 在数据中心内,客户端需要访问TCP端口443和22上的混合数据安全节点,以进行管理。

通用标识(CI)主机的URL是区域特定的。 以下是当前的CI主持人:

地区

通用标识主机URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。


       

      用于检查 HTTPS 流量的 Squid 代理可能会干扰建立 websocket (wss:) 连接。 要解决此问题,请参阅为混合数据安全配置Squid Proxies

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。 本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。 如果发生此问题,绕过(不检查)流量至 wbx2.comciscospark.com 可以解决这个问题。

完成混合数据安全的先决条件

使用此核对表来确保您已准备好安装和配置混合数据安全群集。
1

确保您的Webex组织已启用Pro Pack for Cisco Webex Control Hub,并获取具有完全组织管理员权限的帐户凭证。 请联系您的Cisco合作伙伴或客户经理获取有关此过程的帮助。

2

为HDS部署选择域名(例如, hds.company.com),并获取包含X.509证书、私钥和任何中间证书的证书链。 证书链必须满足 X.509证书要求中的要求。

3

准备要在群集中设置为混合数据安全节点的相同虚拟主机。 您需要至少两个独立的主机(推荐3个)位于同一个安全数据中心,以满足虚拟主机要求中的要求。

4

根据 服务器要求,准备用作群集密钥数据存储的数据库服务器。 数据库服务器必须与虚拟主机共享在安全数据中心。

  1. 创建密钥存储数据库。 (必须创建此数据库-不要使用默认数据库。 HDS应用程序安装后,创建数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名称或IP地址(主机)和端口

    • 用于密钥存储的数据库名称(dbname)

    • 具有密钥存储数据库所有权限的用户的用户名和密码

5

为了快速恢复灾难,请在其他数据中心设置备份环境。 备份环境映射虚拟机和备份数据库服务器的生产环境。 例如,如果生产有3个运行HDS节点的VM,则备份环境应该有3个VM。

6

设置系统日志主机以从群集中的节点收集日志。 收集其网络地址和系统日志端口(默认为UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。 为避免无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置ISO文件。


 

由于混合数据安全节点存储用于加密和解密内容的密钥,如果无法维护运行部署,将导致该内容无法恢复的丢失

Webex应用程序客户端缓存其密钥,因此故障可能不会立即被注意到,但随着时间的推移会变得明显。 虽然暂时停电无法预防,但它们是可以恢复的。 但是,数据库或配置ISO文件完全丢失(无备份)将导致无法恢复的客户数据。 混合数据安全节点的运营者需要经常备份数据库和配置ISO文件,并做好在发生灾难性故障时重建混合数据安全数据中心的准备。

8

确保您的防火墙配置允许如外部连接要求中所述的混合数据安全节点连接。

9

在运行受支持操作系统(Microsoft Windows 10专业版或企业版64位、Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker (https://www.docker.com),并配备可在以下位置访问的Web浏览器: http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。 您的组织可能需要Docker Desktop许可证。 有关更多信息,请参阅 ker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果要将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果您的组织使用目录同步,请在Active Directory中创建一个名为“ HdsTrialGroup ,并添加引导用户。 试用组最多可以有250个用户。 这个 HdsTrialGroup 必须先将对象同步到云端,然后才能为组织开始试用。 要同步组对象,请在Directory Connector的 中选择该对象。 > 选择(Object Selection) 菜单。(有关详细说明,请参阅《 isco Directory Connector部署指南》。


 

给定空间的键由空间创建者设置。 在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问由试点用户创建的空间中的内容。 一旦用户的应用程序刷新其缓存的内容副本,这种丢失就变得明显。

设置混合数据安全群集

混合数据安全部署任务流程

准备工作

准备您的环境

1

下载安装文件

将OVA文件下载到本地计算机以供后续使用。

2

为HDS主机创建配置ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装HDS主机OVA

从OVA文件创建虚拟机并执行初始配置,例如网络设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

4

设置混合数据安全虚拟机

登录到VM控制台并设置登录凭证。 如果在OVA部署时未配置节点的网络设置,请配置该节点的网络设置。

5

上传并挂载HDS配置ISO

从使用HDS设置工具创建的ISO配置文件配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定要用于节点的代理类型,并根据需要将代理证书添加到信任存储区。

7

注册集群中的第一个节点

向Cisco Webex云注册VM作为混合数据安全节点。

8

创建和注册更多节点

完成群集设置。

9

运行试用并进入生产 阶段(下一章)

在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下载安装文件

在此任务中,您可以将OVA文件下载到计算机(而不是您设置为混合数据安全节点的服务器)。 该文件可用于后续的安装过程。
1

登录 https://admin.webex.com,然后单击 服务

2

在“混合服务”部分,找到混合数据安全卡,然后单击设置

如果该卡已禁用或您看不到它,请联系您的客户团队或合作伙伴组织。 向他们提供您的帐户号码,并要求为您的组织启用混合数据安全。 要查找帐户号码,请单击右上角组织名称旁边的齿轮图标。


 

您也可以随时从设置页面上的帮助部分下载OVA。 在混合数据安全卡上,单击编辑设置以打开页面。 然后,单击帮助部分中的下载混合数据安全软件


 

旧版本的软件包(OVA)将不兼容最新的混合数据安全升级。 升级应用程序时可能会出现问题。 确保下载OVA文件的最新版本。

3

选择表示您尚未设置节点,然后单击下一步

OVA文件会自动开始下载。 将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南(Open Deployment Guide)以检查此指南是否有更高版本可用。

为HDS主机创建配置ISO

混合数据安全设置过程将创建ISO文件。 然后使用ISO配置混合数据安全主机。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在步骤 5 中调出Docker容器时通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含加密PostgreSQL或Microsoft SQL Server数据库的主密钥。 在进行配置更改时,您需要该文件的最新副本,例如:

    • 数据库凭证

    • 证书更新

    • 授权策略更改

  • 如果您计划加密数据库连接,请为TLS设置PostgreSQL或SQL Server部署。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

 

此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

 

设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

使用Web浏览器转至localhost, http://127.0.0.1:8080 ,并在提示时输入Control Hub的客户管理员用户名。

该工具使用用户名的第一个条目为该帐户设置适当的环境。 该工具随后会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭证,然后单击登录以允许访问混合数据安全所需的服务。

8

在Setup Tool概述页面上,单击 Get Started

9

ISO导入页面上,您有以下选项:

  • —如果要创建第一个HDS节点,则没有要上传的ISO文件。
  • —如果您已经创建了HDS节点,则可以在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合X.509证书要求中的要求。

  • 如果您之前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书确定,请单击继续
  • 如果您的证书已过期或要替换,请选择继续使用HDS证书链和先前ISO的私钥?。 上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据存储:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果选择 Microsoft SQL Server,将会看到“身份验证类型”字段。

  2. (仅Microsoft SQL Server)选择您的验证类型

    • 基本验证: 您需要在 字段中提供本地SQL Server帐户名称。

    • Windows验证: 您需要一个格式为Windows帐户 username@DOMAIN用户名字段中。

  3. 在表单中输入数据库服务器地址 <hostname>:<port><IP-address>:<port>

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用DNS解析主机名,可以使用IP地址进行基本验证。

    如果您使用的是Windows验证,则必须以格式输入完全限定域名 dbhost.example.org:1433

  4. 输入数据库名称

  5. 在密钥存储数据库中输入具有所有权限的用户的用户名密码

12

选择 <UNK> LS数据库连接模式

模式

描述

首选 TLS(缺省选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。 如果在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者


 

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将来自数据库服务器的证书签名者与 库根证书中的证书颁发机构。 如果不匹配,节点将断开连接。

  • 节点还会验证服务器证书中的主机名是否与 主机和端口 字段中的主机名匹配。 名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

上传根证书(如有必要)并单击继续时,HDS设置工具会测试到数据库服务器的TLS连接。 如果适用,该工具还会验证证书签名者和主机名。 如果测试失败,该工具会显示一条错误消息,描述相关问题。 您可以选择是否忽略错误并继续进行设置。 (由于连接差异,即使HDS设置工具机无法成功测试,HDS节点也可能能够建立TLS连接。)

13

在“系统日志”页面上,配置您的Sy 服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从HDS群集的节点解析DNS,请在URL中使用IP地址。

    例如:
    udp://10.92.43.23:514 表示在UDP端口514上对Syslogd主机10。92。43。23进行日志记录。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置了SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终止下拉列表中,为您的ISO文件选择适当的设置: Select或Newline用于Graylog和Rsyslog TCP

    • 字节为空-- \x00

    • Newline -- \n-为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。 通常,此参数是您唯一可能要更改的参数:

app_datasource_connection_pool_maxSize: 10
15

单击重置服务帐户密码屏幕上的继续

服务帐户密码的有效期为九个月。 当您的密码即将过期或您希望重置密码以使之前的ISO文件失效时使用此屏幕。

16

单击 ISO文件。 将文件保存在易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

18

要关闭设置工具,请键入 CTRL+C

下一步

备份配置ISO文件。 您需要它来创建更多用于恢复的节点,或进行配置更改。 如果丢失ISO文件的所有副本,您也会丢失主密钥。 无法从您的PostgreSQL或Microsoft SQL Server数据库中恢复密钥。


 

我们从来没有这个密钥的副本,如果你丢失了它,我们也无能为力。

安装HDS主机OVA

使用此过程从OVA文件创建虚拟机。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的OVA文件的位置,然后单击 下一步

4

选择名称和文件夹 页,输入 拟机名称 对于节点(例如“HDS_ode_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

5

计算资源 页,选择目标计算资源,然后单击 下一步

运行验证检查。 完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在 上选择资源配置 页,单击 4个CPU,然后单击 下一步

8

存储空间 页,单击 下一步 接受默认磁盘格式和VM存储策略。

9

网络 页,从条目列表中选择网络选项以提供所需的VM连接。

10

自定义模板页面上,配置以下网络设置:

  • 主机名—输入FQDN(主机名和域)或节点的单字主机名。

     

    • 您无需将域设置为与用于获取X.509证书的域匹配。

    • 要确保成功注册到云,请在为节点设置的FQDN或主机名中仅使用小写字符。 目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址 -输入节点内部接口的IP地址。

     

    节点应具有内部IP地址和DNS名称。 不支持DHCP。

  • 掩码-以点数表示输入子网掩码地址。 例如,255.255.255.0
  • 网关—输入网关IP地址。 网关是一个网络节点,可作为另一个网络的接入点。
  • DNS服务器-输入以逗号分隔的DNS服务器列表,用于将域名转换为数字IP地址。 (最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或可在组织中使用的其他外部NTP服务器。 缺省NTP服务器可能不适用于所有企业。 您还可以使用逗号分隔的列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便出于管理目的,可以从网络中的客户端访问群集中的所有节点。

如果您愿意,可以跳过网络设置配置,然后按照设置混合数据安全VM 中的步骤从节点控制台配置设置。


 

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行测试。 该选项在早期版本中可能不可用。

11

右键单击节点虚拟机,然后选择 >

混合数据安全软件作为访客安装在VM主机上。 您现在已准备好登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。 首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全虚拟机

此程序用于首次登录混合数据安全节点VM控制台并设置登录凭证。 如果在部署OVA时未配置节点,也可以使用控制台配置节点的网络设置。

1

在VMware vSphere客户端中,选择混合数据安全节点VM,然后选择控制台选项卡。

VM启动并显示登录提示。 如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录和密码登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于您是首次登录VM,您需要更改管理员密码。

3

如果您已经在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。 否则,在主菜单中选择编辑配置选项。

4

使用IP地址、掩码、网关和DNS信息设置静态配置。 节点应具有内部IP地址和DNS名称。 不支持DHCP。

5

(可选)根据需要更改主机名、域或NTP服务器,以匹配您的网络策略。

您无需将域设置为与用于获取X.509证书的域匹配。

6

保存网络配置并重启虚拟机,使更改生效。

上传并挂载HDS配置ISO

此程序用于从使用HDS设置工具创建的ISO文件配置虚拟机。

准备工作

由于ISO文件持有主密钥,因此它只应在“需要知道”的基础上公开,以便混合数据安全虚拟机和可能需要进行更改的任何管理员访问。 请确保只有这些管理员可以访问数据存储。

1

从您的计算机上传ISO文件:

  1. 在VMware vSphere客户端的左侧导航窗格中,单击ESXi服务器。

  2. 在配置标签页的硬件列表中,单击存储空间

  3. 在数据存储列表中,右键单击VM的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击“上传文件”

  5. 浏览到您将ISO文件下载到计算机上的位置,然后单击打开

  6. 单击接受上传/下载操作警告,并关闭数据存储对话框。

2

安装ISO文件:

  1. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  2. 单击 确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1 ,选择从数据存储ISO文件安装的选项,然后浏览到您上传配置ISO文件的位置。

  4. 检查已连接接通电源时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的IT策略要求,您可以选择在所有节点获取配置更改后卸载ISO文件。 请参阅(可选)卸载HDS配置之后的ISO 以了解详细信息。

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。 如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。 您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

输入HDS节点设置URL https://[HDS Node IP or FQDN]/setup 在Web浏览器中,输入您为节点设置的管理员凭证,然后单击 登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理 - 集成代理之前的缺省选项。 无需证书更新。
  • 透明不检查代理 - 节点没有配置为使用特定代理服务器地址,不需要任何更改即可使用不检查代理。 无需证书更新。
  • 透明检查代理 - 节点没有配置为使用特定代理服务器地址。 混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。 IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。 这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理 - 使用显式代理时,您可以告诉客户端(HDS 节点)要使用哪个代理服务器,并且此选项支持多种验证类型。 选择此选项后,您必须输入以下信息:

    1. 代理 IP/FQDN - 可用于访问代理机器的地址。

    2. 代理端口 - 代理用来侦听代理流量的端口号。

    3. 代理协议 - 选择 http(查看和控制从客户端接收的所有请求)或 https(提供到达服务器的通道以及客户端接收和验证服务器证书的通道)。 根据代理服务器支持的内容选择一个选项。

    4. 验证类型 - 从以下验证类型中进行选择:

      • - 无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本 - 用于 HTTP 用户代理,以便在发出请求时提供用户名和密码。 使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 摘要 - 用于在发送敏感信息之前确认帐户。 通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。 单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。 这种情况符合许多显式代理配置的预期。 您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。 如果您认为这是错误,请完成这些步骤,然后查看关闭阻止的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。 此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。 如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务使用您在设置混合数据安全VM中创建的通用节点,向Webex云注册节点,然后将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。 群集包含一个或多个用于提供冗余的节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分,找到混合数据安全,然后单击设置

出现注册混合数据安全节点页。
4

选择表示您已设置节点并准备好注册,然后单击下一步

5

在第一个字段中,输入要分配混合数据安全节点的集群的名称。

建议您基于群集节点的地理位置来命名该群集。 例如: “旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

此IP地址或FQDN应与您在设置混合数据安全VM中使用的IP地址或主机名和域匹配。

出现一条消息,表示您可以将节点注册到Webex。
7

单击转至节点。

8

单击警告消息中的继续。

片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认要向Webex组织授予访问您节点的权限。
9

选中允许访问您的混合数据安全节点复选框,然后单击继续

您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。
10

单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

混合数据安全页面上,将显示包含您注册的节点的新集群。 该节点将自动从云端下载最新软件。

创建和注册更多节点

要向群集添加其他节点,只需创建其他VM并安装相同的配置ISO文件,然后注册该节点。 我们建议您至少拥有3个节点。

 

目前,您在完成混合数据安全的先决条件中创建的备份VM是备用主机,仅在灾难恢复情况下使用;在此之前,它们不会向系统注册。 有关详细信息,请参阅使用待机数据中心的灾难恢复

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保已禁用浏览器中的任何弹出窗口阻止程序,或允许admin.webex.com例外。

1

从OVA创建新虚拟机,重复安装HDS主机OVA中的步骤。

2

在新VM上设置初始配置,重复设置混合数据安全VM中的步骤。

3

在新的VM上,重复“上传并挂载HDS配置ISO”中的步骤。

4

如果要为部署设置代理,请根据需要为新节点重复为代理集成配置HDS节点中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择“服务”

  2. 在“混合服务”部分,找到混合数据安全卡,然后单击“资源”(Resources)

    出现“混合数据安全资源”页。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部IP地址或完全限定域名(FQDN),然后单击下一步

    出现一条消息,表示您可以将节点注册到Webex云。

  6. 单击转至节点。

    片刻之后,您将被重定向到Webex服务的节点连接测试。 如果所有测试均成功,将出现允许访问混合数据安全节点页。 在此,您确认是否要向组织授予访问节点的权限。

  7. 选中允许访问您的混合数据安全节点复选框,然后单击继续

    您的帐户已过验证,“注册已完成”消息表示您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页以返回到“Control Hub混合数据安全”页面。

节点已注册。 请注意,在开始试用之前,节点会生成警报,指示您的服务尚未激活。

下一步

运行试用并进入生产 阶段(下一章)
运行试用并转入生产模式

试用到生产任务流程

设置混合数据安全群集后,您可以启动试点,向其添加用户,并开始使用它来测试和验证您的部署,为进入生产阶段做好准备。

准备工作

设置混合数据安全群集
1

如果适用,同步 HdsTrialGroup 组对象。

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 先对对象进行分组,以便同步到云,然后才能开始试用。 有关说明,请参阅《Cisco目录连接器的 指南》。

2

激活试用

开始试用。 在执行此任务之前,节点将生成警报,指示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递给您的混合数据安全部署。

4

监控混合数据安全运行状况

检查状态并设置警报的电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

准备工作

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 在为组织开始试用之前,先对对象进行组合以同步到云。 有关说明,请参阅《Cisco目录连接器的 指南》。

1

登录 https://admin.webex.com,然后选择 服务

2

在混合数据安全下,单击设置

3

在“服务状态”部分,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户,输入要试点使用混合数据安全节点进行加密和索引服务的一个或多个用户的电子邮件地址。

(如果您的组织使用目录同步,请使用Active Directory管理试用组, HdsTrialGroup 列表)

测试混合数据安全部署

此程序用于测试混合数据安全加密方案。

准备工作

  • 设置混合数据安全部署。

  • 激活试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递给混合数据安全部署。

1

给定空间的键由空间创建者设置。 作为试点用户之一登录Webex应用程序,然后创建空间并邀请至少一个试点用户和一个非试点用户。


 

如果停用混合数据安全部署,则一旦替换了客户端缓存的加密密钥副本,将无法再访问试点用户创建的空间中的内容。

2

将消息发送到新空间。

3

检查系统日志输出,以验证关键请求是否传递给混合数据安全部署。

  1. 要在建立到KMS的安全通道之前检查用户,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    您应该找到如下条目(为便于阅读而缩写的标识符):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY:

    您应该找到以下条目:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查是否有用户请求创建新的KMS密钥,请按 kms.data.method=createkms.data.type=KEY_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要在创建空间或其他受保护资源时检查请求创建新KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

    您应该找到以下条目:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切正常。 要更主动地警报,请注册电子邮件通知。 出现影响服务的警报或软件升级时,您将收到通知。
1

Control Hub中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分,找到混合数据安全,然后单击设置

出现“混合数据安全设置”页。
3

在电子邮件通知部分,输入一个或多个以逗号分隔的电子邮件地址,然后按 Enter

从试用中添加或删除用户

在激活试用并添加初始试用用户集后,您可以在试用活动期间随时添加或删除试用成员。

如果您从试用中删除用户,用户的客户端将从云KMS而不是您的KMS请求密钥和密钥创建。 如果客户端需要存储在KMS上的密钥,云KMS将代表用户获取密钥。

如果您的组织使用目录同步,请使用Active Directory(而非此程序)管理试用组, HdsTrialGroup ;您可以在Control Hub中查看组成员,但无法添加或删除他们。

1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户,或单击查看和编辑将用户从试用中删除。

4

输入要添加的一个或多个用户的电子邮件地址,或者通过用户ID单击 X 将该用户从试用中删除。 然后单击保存

从试用过渡到生产

当您对您的部署在试用用户中效果良好感到满意时,可以进入生产阶段。 进入生产阶段后,组织中的所有用户都将使用本地部署的混合数据安全域来获取加密密钥和其他安全领域服务。 除非在灾难恢复过程中停用该服务,否则您无法从生产中恢复到试用模式。 重新激活该服务需要您设置新的试用。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在Service Status部分,单击 Move to Production

4

确认您要将所有用户移至生产模式。

在不进入生产阶段的情况下结束试用

在试用期间,如果您决定不继续部署混合数据安全,可以停用混合数据安全,从而结束试用并将试用用户移回云数据安全服务。 试用用户将无法访问在试用期间加密的数据。
1

登录Control Hub,然后选择服务

2

在混合数据安全下,单击设置

3

在“停用”区域中,单击停用

4

确认您要停用服务并结束试用。

管理HDS部署

管理HDS部署

使用此处描述的任务来管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在群集级别自动完成,可确保所有节点始终运行相同的软件版本。 根据集群的升级安排完成升级。 当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。 您可以设置特定的升级安排或使用缺省安排:美国洛杉矶 当地时间每日凌晨 3 点。 若有必要,您还可以选择推迟即将进行的升级。

要设置升级安排:

1

登录到 Control Hub。

2

在“概述”页面上的混合服务下,选择混合数据安全

3

在“混合数据安全资源”页上,选择群集。

4

在右侧“概述”面板中的“集群设置”下,选择集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注: 下一可用升级的日期与时间显示在时区下。 如有需要,您可以通过单击“推迟”将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。


     

    我们不支持更改证书的 CN 域名。 此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。


     

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。 要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。 HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。 组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。 (该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重设 - 旧密码和新密码均最多使用 10 天。 在此期限内逐步替换节点上的 ISO 文件。

  • 硬重设 - 旧密码立即作废。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。 要进行访问,请运行该机器上的 Docker。 设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后面运行,请在 1.e中调出Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。 此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。 ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。 在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

     

    此步骤会清除之前的 HDS 设置工具映像。 如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    请确保在此过程中提取的是最新的设置工具。 2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到localhost, http://127.0.0.1:8080


     

    设置工具不支持通过 http://localhost:8080 连接到localhost。 使用 http://127.0.0.1:8080 连接到localhost。

  7. 出现提示时,输入您的 Control Hub 客户登录凭证,然后单击接受继续操作。

  8. 导入当前配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭设置工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您仅运行一个 HDS 节点,请创建新的混合数据安全节点 VM,并使用新的配置 ISO 文件将其注册。 有关更多详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 安装更新的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。 请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1 ,选择从ISO文件安装的选项,然后浏览到您下载新配置ISO文件的位置。

  4. 选中开机时连接

  5. 保存您的更改并打开虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。 如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点界面(例如,IP地址/设置,https://192.0.2.0/setup), 输入为节点设置的管理员凭证,然后单击 In

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。 否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。 从群集中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的VMware vSphere客户端登录ESXi虚拟机并关闭虚拟机。

2

删除节点:

  1. 登录Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部以显示“混合数据安全资源”页。

  3. 选择簇以显示其概述面板。

  4. 单击 节点列表

  5. 在“节点”选项卡上,选择要删除的节点。

  6. 单击 > 注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击VM,然后单击删除。)

如果不删除虚拟机,请记得卸载配置ISO文件。 如果没有ISO文件,您将无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键的服务是创建和存储用于加密Webex云中存储的消息和其他内容的密钥。 对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会路由到集群。 群集还负责将其创建的密钥返回给任何授权检索这些密钥的用户,例如对话空间的成员。

由于群集执行提供这些密钥的关键功能,因此群集必须保持运行并维护适当的备份。 丢失混合数据安全数据库或用于架构的配置ISO将导致无法恢复的客户内容丢失。 为防止此类损失,必须采取以下措施:

如果灾难导致主数据中心中的HDS部署不可用,请按照此程序手动将故障转移到备用数据中心。

1

启动HDS设置工具,然后按照为HDS主机创建配置ISO中提到的步骤操作。

2

配置Syslogd服务器后,单击 设置

3

高级设置页面上,在下面添加配置或删除 passiveMode 使节点活动的配置。 配置后,节点可以处理流量。 


passiveMode: 'false'
4

完成配置过程并将ISO文件保存在易于找到的位置。

5

在本地系统上备份ISO文件。 确保备份副本的安全。 该文件包含数据库内容的主加密密钥。 仅允许需要更改配置的混合数据安全管理员访问。

6

在VMware vSphere客户端的左侧导航窗格中,右键单击VM,然后单击编辑设置。

7

单击编辑设置>CD/DVD Drive 1,然后选择数据存储器ISO文件。


 

确保已选中“已连接”“电源上连接”,以便更新的配置更改在启动节点后生效。

8

打开HDS节点电源,并确保至少15分钟内没有警报。

9

为待机数据中心中的每个节点重复该过程。


 

检查系统日志输出,以验证备用数据中心的节点未处于被动模式。 系统日志中不应显示“被动模式下配置的KMS”。

下一步

故障转移后,如果主数据中心再次变为活动状态,请按照设置灾难恢复备用数据中心中所述的步骤将备用数据中心再次置于被动模式。

(可选)在HDS配置之后卸载ISO

标准HDS配置运行时安装ISO。 但是,有些客户不希望ISO文件连续安装。 您可以在所有HDS节点接受新配置后卸载ISO文件。

您仍使用ISO文件进行配置更改。 当您通过设置工具创建新的ISO或更新ISO时,必须在所有HDS节点上安装更新的ISO。 在所有节点获取配置更改后,您可以使用此程序再次卸载ISO。

准备工作

将所有HDS节点升级到版本2021.01.22.4720或更高版本。

1

关闭其中一个HDS节点。

2

在vCenter Server 中,选择HDS节点。

3

选择 设置 > <UNK> /DVD驱动器 并取消选中 存储器ISO文件

4

打开HDS节点电源,并确保至少20分钟内没有警报。

5

对每个HDS节点依次重复。

混合数据安全疑难解答

查看警告和故障诊断

如果群集中的所有节点都无法访问,或者群集工作非常缓慢以至于请求超时,则认为混合数据安全部署不可用。 如果用户无法访问混合数据安全群集,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 消息和空间标题无法解密:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要其客户端拥有加密密钥缓存,空间中的现有用户将继续成功运行

请务必正确监控混合数据安全群集并及时处理任何警报,以避免服务中断。

警告

如果混合数据安全设置出现问题,Control Hub会向组织管理员显示警告,并向配置的电子邮件地址发送电子邮件。 警报涵盖了许多常见的场景。

表 1. 常见问题及其解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,并且节点配置中使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按 连接要求 Webex服务器。

续订云服务注册。

云服务的注册已取消。 正在续订注册。

云服务注册已断开。

云服务的注册已终止。 服务正在关闭。

服务尚未激活。

激活试用或完成将试用转入生产阶段。

配置的域与服务器证书不匹配。

确保服务器证书与配置的服务激活域匹配。

最可能的原因是证书CN最近发生了更改,现在与初始设置期间使用的CN不同。

向云服务验证失败。

检查服务帐户凭证的准确性和可能的过期时间。

打开本地密钥库文件失败。

检查本地密钥库文件的完整性和密码准确性。

本地服务器证书无效。

检查服务器证书的到期日期,并确认它是由受信任的证书颁发机构颁发的。

无法发布指标。

检查外部云服务的本地网络访问。

/media/configdrive/hds目录不存在。

检查虚拟主机上的ISO安装配置。 验证ISO文件是否存在,是否已配置为在重启时安装,以及是否已成功安装。

混合数据安全疑难解答

对混合数据安全问题进行故障诊断时,请遵循以下一般准则。
1

查看Control Hub中的任何警告并修复您在此处找到的任何项目。

2

查看来自混合数据安全部署的系统日志服务器输出的活动。

3

请联系思科支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭混合数据安全群集(通过在Control Hub中删除该群集或关闭所有节点)、丢失配置ISO文件或失去对密钥库数据库的访问权限,Webex应用程序用户将无法再使用通过KMS密钥创建的人员列表下的空间。 这适用于试用版和量产版部署。 我们目前没有解决此问题的变通方法或修复方法,我们强烈建议您在HDS服务处理活动的用户帐户后不要关闭。

  • 与KMS已有ECDH连接的客户端将保持一段时间(可能为一小时)。 当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的ECDH连接,直到超时。 或者,用户可以注销并重新登录到Webex应用程序,以更新应用程序用于加密密钥的联系人位置。

    当您为组织将试用转入生产模式时,也会发生相同的行为。 所有与先前数据安全服务现有ECDH连接的非试用用户将继续使用这些服务,直到ECDH连接重新协商(通过超时或注销和重新登录)。

使用OpenSSL生成PKCS12文件

准备工作

  • OpenSSL是一种可用于使PKCS12文件以正确格式加载到HDS设置工具中的工具。 还有其他方法可以做到这一点,我们不支持或推动一种方法超越另一种方法。

  • 如果您确实选择使用OpenSSL,我们提供此程序作为指导,帮助您创建符合X.509证书要求中的X.509证书要求的文件。 请先了解这些要求,然后再继续。

  • 在支持的环境中安装OpenSSL。 有关软件和文档,请参阅 https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构(CA)收到服务器证书后开始此程序。

1

当您从CA收到服务器证书时,将其另存为 hdsnode.pem

2

将证书显示为文本并验证详细信息。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为证书捆绑包的文件。 hdsnode-bundle.pem 。 捆绑文件必须包含以下格式的服务器证书、任何中间CA证书和根CA证书: 

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----
4

使用友好名称创建。p12文件 kms-private-key

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在提示处输入密码以加密私钥,使其在输出中列出。 然后,验证私钥和第一个证书是否包含线路 friendlyName: kms-private-key

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
<redacted>
-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----
<redacted>
-----END CERTIFICATE-----

下一步

返回到 完成混合数据安全的前提条件。 您将使用 hdsnode.p12为HDS主机创建配置ISO中为其设置的文件和密码。


 

在原始证书过期时,您可以重复使用这些文件以请求新证书。

HDS节点和云之间的流量

出站指标收集流量

混合数据安全节点将某些指标发送到Webex云。 其中包括堆最大值、已用堆、CPU负载和线程数量的系统指标;同步和异步线程指标;涉及加密连接阈值、延迟或请求队列长度的警报指标;数据存储指标;以及加密连接指标。 节点通过带外(与请求分离)通道发送加密密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 来自客户端的加密请求,由加密服务路由

  • 升级到节点软件

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰websocket的建立( wss:),这是混合数据安全所需的连接。 这些章节提供了如何配置不同版本的Squid以忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

添加 on_unsupported_protocol 指令至 squid.conf: 

on_unsupported_protocol tunnel all

Squid 3.5.27

我们成功测试了混合数据安全性,并将以下规则添加到 squid.conf 。 随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。 

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

序言

新信息和更改信息

日期

已作更改

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

2021 年 10 月 13 日

在安装HDS节点之前,Docker Desktop需要运行设置程序。请参阅 Docker桌面要求

2021 年 6 月 24 日

请注意,您可以重用私钥文件和CSR请求另一个证书。有关详细信息,请参阅使用OpenSSL生成PKCS12文件

2021年4月30日

将本地硬盘空间的VM要求更改为30 GB。有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。有关详细信息,请参阅为HDS主持人创建配置ISO

2021 年 2 月 2 日

HDS现在可以在没有已安装的ISO文件的情况下运行。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

2021年1月11日

添加有关HDS设置工具和代理的信息,以为HDS主持人创建配置ISO

2020 年 10 月 13 日

已更新下载安装文件

2020 年 10 月 8 日

已更新为HDS主持人创建配置ISO ,并使用FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

已更新为HDS主持人创建配置ISO 并更改登录流程更改节点配置

2020年8月5日

已更新测试混合数据安全部署 ,了解日志消息中的更改。

已更新虚拟主持人要求 以删除最大主持人数量。

2020年6月16日

已更新删除节点 ,以便在Control Hub UI中进行更改。

2020年6月4日

已更新为HDS主持人创建配置ISO ,以用于可能设置的高级设置中的更改。

2020年5月29日

已更新为HDS主机创建配置ISO ,以显示您还可以使用TLS与SQL Server数据库、UI更改和其他说明。

2020年5月5日

已更新虚拟主机要求 以显示ESXi 6.5的新要求。

2020 年 4 月 21 日

通过新的Americas CI主持人更新了外部连接要求

2020 年 4 月 1 日

更新了外部连接要求 ,其中包含有关区域CI主持人的信息。

2020 年 2 月 20 日已更新为HDS主持人创建配置ISO ,其中包含有关HDS设置工具中的新可选高级设置屏幕的信息。
2020年2月4日已更新的代理服务器要求
2019年12月16日澄清了在代理服务器要求中运行的受阻止外部DNS解析模式的要求。
2019 年 11 月 19 日

在以下章节中添加了关于受阻止外部DNS解析模式的信息:

2019 年 11 月 8 日

现在可以在部署OVA时配置节点的网络设置,而不是稍后配置。

相应更新以下部分:

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

2019 年 9 月 6 日

将SQL Server标准添加到数据库服务器要求中。

2019 年 8 月 29 日已添加为混合数据安全配置Squid代理 附录,其中包含有关配置Squid代理以忽略WebSocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加和更新部分以涵盖混合数据安全节点通信到Webex云的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全和Webex视频网的代理支持 帮助文章。

2019年6月13日如果您的组织使用目录同步,将试用版更新为生产任务流程 ,并提醒在开始试用前,HdsTrialGroup 组对象同步。
2019年3月6日
2019 年 2 月 28 日

  • 已更正了每个服务器在准备成为混合数据安全节点的虚拟主机(从50 GB到20 GB)时应留出的本地硬盘空间量,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与TLS系统日志服务器的加密日志连接。已更新为HDS主持人创建配置ISO ,并附有说明。

  • 从“混合数据安全节点VM的互联网连接要求”表中删除目标URL。该表现在引用 Webex Teams Services的网络要求的“Webex Teams Hybrid Services的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现在支持Microsoft SQL Server作为数据库。SQL Server Always On(始终在故障转移集群和始终在可用性组中)由混合数据安全中使用的JDBC驱动程序支持。添加与使用SQL Server部署相关的内容。

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

已更改术语以反映Cisco Spark的品牌重塑:

  • Cisco Spark Hybrid Data Security现在是Hybrid Data Security。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton云现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • X.509 证书要求表中,规定证书不能为通配符证书,并且 KMS 应使用 CN 域,而非 x.509v3 SAN 字段中定义的任何域。

2018 年 1 月 18 日

2017 年 11 月 2 日

  • 澄清了 HdsTrialGroup 的目录同步。

  • 修改了上载 ISO 配置文件(用于安装至 VM 节点)的说明。

2017 年 8 月 18 日

首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco的安全领域中的动态密钥进行端到端加密,这些密钥存储在Cloud KMS中。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要对客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件,在试用模式下使用一组用户测试部署,并在测试完成后进入生产。这会转换整个组织,以便将混合数据安全集群用于安全功能。

    安装、试用和生产阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Control Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Control Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后,首先尝试使用一组试点用户。在试用期间,这些用户使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务,则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对部署在试用用户中运行良好,并且已准备好将混合数据安全扩展到所有用户,请将部署移至生产。试用用户仍有权获取试用期间所用的密钥。但是,您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务(例如要执行灾难恢复),则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用,然后才能移回生产模式。用户在此处是否保留对数据的访问取决于您是否已成功维护集群中的混合数据安全节点的关键数据存储和ISO配置文件的备份。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。待机数据中心的ISO文件通过附加配置更新,确保节点已注册到组织,但不会处理流量。因此,待机数据中心的节点始终是最新的HDS软件版本。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

设置灾难恢复待机数据中心

按照以下步骤配置待机数据中心的ISO文件:

开始之前
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

ISO文件必须是主要数据中心的原始ISO文件的副本,要对其进行以下配置更新。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置,将节点置于被动模式中。在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

 被动模式:“真”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统符号,验证节点是否处于被动模式。您应该能够在系统标语中查看“以被动模式配置的KMS”消息。

下一步

在ISO文件中配置 passiveMode 并保存后,无需使用 passiveMode 配置即可创建另一个ISO文件的副本,并将其保存在安全位置。未配置的被动模式 的ISO文件的副本有助于在灾难恢复期间快速故障转移。请参阅使用待机数据中心灾难恢复 了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 6.5(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的Webex组织已为Cisco Webex Control Hub的Pro Pack启用,并获取具有完整组织管理员权限的帐户凭据。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果组织使用目录同步,则需要在 Active Directory 中创建名为 HdsTrialGroup 的组,并添加试用用户。试用组中最多可拥有 250 位用户。必须先将 HdsTrialGroup 对象同步到云端,才能为组织开始试用。要同步组对象,请在目录连接器的配置 > 对象选择 菜单中选择它。(有关详细说明,请参阅 Cisco Directory连接器的部署指南。

给定空间的密钥由空间创建者设置。选择试点用户时,请记住,如果您决定永久停用Hybrid Data Security部署,所有用户将失去对试点用户创建的空间中的内容的访问权限。当用户的应用程序刷新内容的缓存副本后,丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

开始之前

准备您的环境

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

注册集群中的首个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建和注册更多节点

完成集群设置。

9

运行试用并转至生产 (下一章)

在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。
1

登录 https://admin.webex.com,然后单击服务

2

在“混合服务”部分中,找到混合数据安全卡,然后单击设置

如果卡禁用或您看不到该卡,请联系您的帐户团队或合作伙伴组织。向他们提供您的帐号,并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上方组织名称旁边的齿轮。

您还可以随时从设置 页面的帮助 部分下载OVA。在混合数据安全卡上,单击编辑设置 打开页面。然后单击帮助 部分中的下载混合数据安全软件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

3

选择 以表示您尚未设置节点,然后单击下一步

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Control Hub的客户管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    例如:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的首个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“注册混合数据安全节点”页面。
4

选择,表示您已设置好节点并准备进行注册,然后单击下一步

5

在第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

8

单击警告消息中的继续。

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。
9

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
10

单击链接或关闭标签页,返回Control Hub混合数据安全页面。

混合数据安全页面上,将显示包含已注册节点的新集群。此节点将自动从云端下载最新的软件。

创建和注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

目前,您在完成混合数据安全先决条件 中创建的备用虚拟机是备用主机,仅在灾难恢复时使用;在此之前,它们不会在系统中注册。有关详细信息,请参阅使用待机数据中心进行灾难恢复

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“混合服务”部分中,找到混合数据安全卡,然后单击资源

    将显示混合数据安全资源页面。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

    会显示一条消息,表明您可以将节点注册到Webex云。

  6. 单击转至节点

    几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回Control Hub混合数据安全页面。

您的节点已注册。请注意,在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下一步

运行试用并转至生产 (下一章)

运行试用模式并转入生产模式

试用到生产任务流程

设置Hybrid Data Security集群后,您可以启动试点,向其添加用户,然后开始使用它来测试和验证您的部署,以便为迁移到生产做好准备。

开始之前

设置混合数据安全集群
1

如果适用,请同步 HdsTrialGroup 组对象。

如果您的组织为用户使用目录同步,则必须选择 HdsTrialGroup 组对象以同步到云,然后才能开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

2

激活试用

开始试用。在您执行此任务之前,您的节点会生成警报,表示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递到混合数据安全部署。

4

监控混合数据安全的运行状况

检查状态,并为警报设置电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

开始之前

如果贵公司为用户使用了目录同步,必须先选择 HdsTrialGroup 组对象以同步到云后,才能为组织开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

1

登录 https://admin.webex.com,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户 并输入一个或多个用户的电子邮件地址,以使用混合数据安全节点进行加密和索引服务。

(如果组织使用了目录同步,请使用 Active Directory 来管理试用组 HdsTrialGroup。)

测试混合数据安全部署

使用此程序测试混合数据安全加密场景。

开始之前

  • 设置混合数据安全部署。

  • 开始试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递到混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以试点用户身份登录Webex应用程序,然后创建空间,并邀请至少一名试点用户和一个非试点用户。

如果您停用Hybrid Data Security部署,一旦替换了客户端缓存的加密密钥副本,试点用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

控制中心中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,可在试用处于活动状态时随时添加或删除试用成员。

如果从试用中删除用户,用户的客户端将需要密钥以及来自云 KMS(而非 KMS)的密钥创建。如果客户端需要存储在 KMS 中的密钥,云 KMS 会代表用户去获取该密钥。

如果您的组织使用目录同步,请使用Active Directory(而不是此程序)管理试验组 HdsTrialGroup;您可以在Control Hub中查看组成员,但无法添加或删除它们。

1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户;或者,单击查看并编辑,以便从试用中删除用户。

4

输入要添加的一个或多个用户的电子邮件地址;或者,按用户标识逐个单击 X,这样也可以从试用中删除用户。然后单击“保存”。

从试用模式转入生产模式

如果对试用用户而言部署运转良好,而且您也感到满意,即可转入生产模式。当您转至生产时,组织中的所有用户都将使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。除非在执行灾难恢复的过程中停用服务,否则将无法从生产模式返回到试用模式。要重新激活服务,您需要设置新的试用。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击转入生产模式

4

确认是否要将所有用户转入生产模式。

在不转入生产模式的情况下结束试用

如果您在试用期间决定不继续混合数据安全部署,则可以停用混合数据安全,这将结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用过程中加密的数据。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“停用”部分中,单击停用

4

确认是否要停用服务并结束试用。

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录到 Control Hub。

2

在“概述”页面上,选择“混合服务”下的混合数据安全

3

在“混合数据安全资源”页面上,选择集群。

4

在右侧的“概述”面板中,选择“集群设置”下的集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如有需要,您可以通过单击推迟将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Control Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击打开节点列表

  5. 在节点选项卡上,选择要删除的节点。

  6. 单击操作 > 取消注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置或删除被动模式 配置,使节点处于活动状态。配置完成后,节点可以处理流量。

 被动模式:“错误”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统日志输出以验证待机数据中心的节点是否处于被动模式。“以被动模式配置的KMS”不应出现在系统中。

下一步

故障转移后,如果主数据中心再次处于活动状态,请按照设置灾难恢复待机数据中心中描述的步骤将待机数据中心重新置于被动模式。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Control Hub会向组织管理员显示警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

激活试用模式,或者完成从试用到生产的迁移。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

查看Control Hub以了解任何警报并修复您在此处找到的任何项目。

2

查看混合数据安全部署中的活动的syslog服务器输出。

3

联系 Cisco 支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Control Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,您的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。这也适用于试用和生产部署。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。当用户成为混合数据安全试用成员时,用户的客户端将继续使用现有的ECDH连接,直到它超时。或者,用户可以登录并重新登录Webex应用程序以更新应用程序为加密密钥联系的位置。

    当将组织从试用迁移到生产时,也会出现相同的情况。所有已与前一个数据安全服务建立 ECDH 连接的非试用用户都将继续使用这些服务,直至 ECDH 连接被重新协商(通过超时,或通过注销并重新登录)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

序言

新信息和已更改的信息

日期

已作更改

2025年1月07日

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

2021 年 10 月 13 日

在安装HDS节点之前,Docker Desktop需要运行设置程序。请参阅 Docker桌面要求

2021 年 6 月 24 日

请注意,您可以重用私钥文件和CSR请求另一个证书。有关详细信息,请参阅使用OpenSSL生成PKCS12文件

2021年4月30日

将本地硬盘空间的VM要求更改为30 GB。有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。有关详细信息,请参阅为HDS主持人创建配置ISO

2021 年 2 月 2 日

HDS现在可以在没有已安装的ISO文件的情况下运行。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

2021年1月11日

添加有关HDS设置工具和代理的信息,以为HDS主持人创建配置ISO

2020 年 10 月 13 日

已更新下载安装文件

2020 年 10 月 8 日

已更新为HDS主持人创建配置ISO ,并使用FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

已更新为HDS主持人创建配置ISO 并更改登录流程更改节点配置

2020年8月5日

已更新测试混合数据安全部署 ,了解日志消息中的更改。

已更新虚拟主持人要求 以删除最大主持人数量。

2020年6月16日

已更新删除节点 ,以便在Control Hub UI中进行更改。

2020年6月4日

已更新为HDS主持人创建配置ISO ,以用于可能设置的高级设置中的更改。

2020年5月29日

已更新为HDS主机创建配置ISO ,以显示您还可以使用TLS与SQL Server数据库、UI更改和其他说明。

2020年5月5日

已更新虚拟主机要求 以显示ESXi 6.5的新要求。

2020 年 4 月 21 日

通过新的Americas CI主持人更新了外部连接要求

2020 年 4 月 1 日

更新了外部连接要求 ,其中包含有关区域CI主持人的信息。

2020 年 2 月 20 日已更新为HDS主持人创建配置ISO ,其中包含有关HDS设置工具中的新可选高级设置屏幕的信息。
2020年2月4日已更新的代理服务器要求
2019年12月16日澄清了在代理服务器要求中运行的受阻止外部DNS解析模式的要求。
2019 年 11 月 19 日

在以下章节中添加了关于受阻止外部DNS解析模式的信息:

2019 年 11 月 8 日

现在可以在部署OVA时配置节点的网络设置,而不是稍后配置。

相应更新以下部分:

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

2019 年 9 月 6 日

将SQL Server标准添加到数据库服务器要求中。

2019 年 8 月 29 日已添加为混合数据安全配置Squid代理 附录,其中包含有关配置Squid代理以忽略WebSocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加和更新部分以涵盖混合数据安全节点通信到Webex云的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全和Webex视频网的代理支持 帮助文章。

2019年6月13日如果您的组织使用目录同步,将试用版更新为生产任务流程 ,并提醒在开始试用前,HdsTrialGroup 组对象同步。
2019年3月6日
2019 年 2 月 28 日

  • 已更正了每个服务器在准备成为混合数据安全节点的虚拟主机(从50 GB到20 GB)时应留出的本地硬盘空间量,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与TLS系统日志服务器的加密日志连接。已更新为HDS主持人创建配置ISO ,并附有说明。

  • 从“混合数据安全节点VM的互联网连接要求”表中删除目标URL。该表现在引用 Webex Teams Services的网络要求的“Webex Teams Hybrid Services的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现在支持Microsoft SQL Server作为数据库。SQL Server Always On(始终在故障转移集群和始终在可用性组中)由混合数据安全中使用的JDBC驱动程序支持。添加与使用SQL Server部署相关的内容。

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

已更改术语以反映Cisco Spark的品牌重塑:

  • Cisco Spark Hybrid Data Security现在是Hybrid Data Security。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton云现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • X.509 证书要求表中,规定证书不能为通配符证书,并且 KMS 应使用 CN 域,而非 x.509v3 SAN 字段中定义的任何域。

2018 年 1 月 18 日

2017 年 11 月 2 日

  • 澄清了 HdsTrialGroup 的目录同步。

  • 修改了上载 ISO 配置文件(用于安装至 VM 节点)的说明。

2017 年 8 月 18 日

首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署的详细信息,请参阅混合数据安全要求 (本文中)。

部署混合数据安全的期望

混合数据安全部署需要对客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件,在试用模式下使用一组用户测试部署,并在测试完成后进入生产。这会转换整个组织,以便将混合数据安全集群用于安全功能。

    安装、试用和生产阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Control Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Control Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后,首先尝试使用一组试点用户。在试用期间,这些用户使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务,则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对部署在试用用户中运行良好,并且已准备好将混合数据安全扩展到所有用户,请将部署移至生产。试用用户仍有权获取试用期间所用的密钥。但是,您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务(例如要执行灾难恢复),则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用,然后才能移回生产模式。用户在此处是否保留对数据的访问取决于您是否已成功维护集群中的混合数据安全节点的关键数据存储和ISO配置文件的备份。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。待机数据中心的ISO文件通过附加配置更新,确保节点已注册到组织,但不会处理流量。因此,待机数据中心的节点始终是最新的HDS软件版本。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

设置灾难恢复待机数据中心

按照以下步骤配置待机数据中心的ISO文件:

开始之前

  • 待机数据中心应镜像VM的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。(有关此故障转移模型的概述,请参阅灾难恢复待机数据中心 。)

  • 确保主动和被动集群节点数据库之间启用数据库同步。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

ISO文件必须是主要数据中心的原始ISO文件的副本,要对其进行以下配置更新。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置,将节点置于被动模式中。在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

 被动模式:“真”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统符号,验证节点是否处于被动模式。您应该能够在系统标语中查看“以被动模式配置的KMS”消息。

下一步

在ISO文件中配置 passiveMode 并保存后,无需使用 passiveMode 配置即可创建另一个ISO文件的副本,并将其保存在安全位置。未配置的被动模式 的ISO文件的副本有助于在灾难恢复期间快速故障转移。请参阅使用待机数据中心灾难恢复 了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的Webex组织已为Cisco Webex Control Hub的Pro Pack启用,并获取具有完整组织管理员权限的帐户凭据。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果组织使用目录同步,则需要在 Active Directory 中创建名为 HdsTrialGroup 的组,并添加试用用户。试用组中最多可拥有 250 位用户。必须先将 HdsTrialGroup 对象同步到云端,才能为组织开始试用。要同步组对象,请在目录连接器的配置 > 对象选择 菜单中选择它。(有关详细说明,请参阅 Cisco Directory连接器的部署指南。

给定空间的密钥由空间创建者设置。选择试点用户时,请记住,如果您决定永久停用Hybrid Data Security部署,所有用户将失去对试点用户创建的空间中的内容的访问权限。当用户的应用程序刷新内容的缓存副本后,丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

注册集群中的首个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建和注册更多节点

完成集群设置。

9

在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。
1

登录 https://admin.webex.com,然后单击服务

2

在“混合服务”部分中,找到混合数据安全卡,然后单击设置

如果卡禁用或您看不到该卡,请联系您的帐户团队或合作伙伴组织。向他们提供您的帐号,并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上方组织名称旁边的齿轮。

您还可以随时从设置 页面的帮助 部分下载OVA。在混合数据安全卡上,单击编辑设置 打开页面。然后单击帮助 部分中的下载混合数据安全软件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

3

选择 以表示您尚未设置节点,然后单击下一步

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Control Hub的客户管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的首个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“注册混合数据安全节点”页面。
4

选择,表示您已设置好节点并准备进行注册,然后单击下一步

5

在第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

8

单击警告消息中的继续。

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。
9

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
10

单击链接或关闭标签页,返回Control Hub混合数据安全页面。

混合数据安全页面上,将显示包含已注册节点的新集群。此节点将自动从云端下载最新的软件。

创建和注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

目前,您在完成混合数据安全先决条件 中创建的备用虚拟机是备用主机,仅在灾难恢复时使用;在此之前,它们不会在系统中注册。有关详细信息,请参阅使用待机数据中心进行灾难恢复

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“混合服务”部分中,找到混合数据安全卡,然后单击资源

    将显示混合数据安全资源页面。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

    会显示一条消息,表明您可以将节点注册到Webex云。

  6. 单击转至节点

    几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回Control Hub混合数据安全页面。

您的节点已注册。请注意,在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下一步

运行试用并转至生产 (下一章)

运行试用模式并转入生产模式

试用到生产任务流程

设置Hybrid Data Security集群后,您可以启动试点,向其添加用户,然后开始使用它来测试和验证您的部署,以便为迁移到生产做好准备。

开始之前

设置混合数据安全集群
1

如果适用,请同步 HdsTrialGroup 组对象。

如果您的组织为用户使用目录同步,则必须选择 HdsTrialGroup 组对象以同步到云,然后才能开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

2

激活试用

开始试用。在您执行此任务之前,您的节点会生成警报,表示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递到混合数据安全部署。

4

监控混合数据安全的运行状况

检查状态,并为警报设置电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

开始之前

如果贵公司为用户使用了目录同步,必须先选择 HdsTrialGroup 组对象以同步到云后,才能为组织开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

1

登录 https://admin.webex.com,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户 并输入一个或多个用户的电子邮件地址,以使用混合数据安全节点进行加密和索引服务。

(如果组织使用了目录同步,请使用 Active Directory 来管理试用组 HdsTrialGroup。)

测试混合数据安全部署

使用此程序测试混合数据安全加密场景。

开始之前

  • 设置混合数据安全部署。

  • 开始试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递到混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以试点用户身份登录Webex应用程序,然后创建空间,并邀请至少一名试点用户和一个非试点用户。

如果您停用Hybrid Data Security部署,一旦替换了客户端缓存的加密密钥副本,试点用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

控制中心中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,可在试用处于活动状态时随时添加或删除试用成员。

如果从试用中删除用户,用户的客户端将需要密钥以及来自云 KMS(而非 KMS)的密钥创建。如果客户端需要存储在 KMS 中的密钥,云 KMS 会代表用户去获取该密钥。

如果您的组织使用目录同步,请使用Active Directory(而不是此程序)管理试验组 HdsTrialGroup;您可以在Control Hub中查看组成员,但无法添加或删除它们。

1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户;或者,单击查看并编辑,以便从试用中删除用户。

4

输入要添加的一个或多个用户的电子邮件地址;或者,按用户标识逐个单击 X,这样也可以从试用中删除用户。然后单击“保存”。

从试用模式转入生产模式

如果对试用用户而言部署运转良好,而且您也感到满意,即可转入生产模式。当您转至生产时,组织中的所有用户都将使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。除非在执行灾难恢复的过程中停用服务,否则将无法从生产模式返回到试用模式。要重新激活服务,您需要设置新的试用。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击转入生产模式

4

确认是否要将所有用户转入生产模式。

在不转入生产模式的情况下结束试用

如果您在试用期间决定不继续混合数据安全部署,则可以停用混合数据安全,这将结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用过程中加密的数据。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“停用”部分中,单击停用

4

确认是否要停用服务并结束试用。

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录到 Control Hub。

2

在“概述”页面上,选择“混合服务”下的混合数据安全

3

在“混合数据安全资源”页面上,选择集群。

4

在右侧的“概述”面板中,选择“集群设置”下的集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如有需要,您可以通过单击推迟将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Control Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击打开节点列表

  5. 在节点选项卡上,选择要删除的节点。

  6. 单击操作 > 取消注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置或删除被动模式 配置,使节点处于活动状态。配置完成后,节点可以处理流量。

 被动模式:“错误”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统日志输出以验证待机数据中心的节点是否处于被动模式。“以被动模式配置的KMS”不应出现在系统中。

下一步

故障转移后,如果主数据中心再次处于活动状态,请按照设置灾难恢复待机数据中心中描述的步骤将待机数据中心重新置于被动模式。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Control Hub会向组织管理员显示警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

激活试用模式,或者完成从试用到生产的迁移。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

查看Control Hub以了解任何警报并修复您在此处找到的任何项目。

2

查看混合数据安全部署中的活动的syslog服务器输出。

3

联系 Cisco 支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Control Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,您的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。这也适用于试用和生产部署。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。当用户成为混合数据安全试用成员时,用户的客户端将继续使用现有的ECDH连接,直到它超时。或者,用户可以登录并重新登录Webex应用程序以更新应用程序为加密密钥联系的位置。

    当将组织从试用迁移到生产时,也会出现相同的情况。所有已与前一个数据安全服务建立 ECDH 连接的非试用用户都将继续使用这些服务,直至 ECDH 连接被重新协商(通过超时,或通过注销并重新登录)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

序言

新信息和已更改的信息

日期

已作更改

2025年1月07日

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

2021 年 10 月 13 日

在安装HDS节点之前,Docker Desktop需要运行设置程序。请参阅 Docker桌面要求

2021 年 6 月 24 日

请注意,您可以重用私钥文件和CSR请求另一个证书。有关详细信息,请参阅使用OpenSSL生成PKCS12文件

2021年4月30日

将本地硬盘空间的VM要求更改为30 GB。有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。有关详细信息,请参阅为HDS主持人创建配置ISO

2021 年 2 月 2 日

HDS现在可以在没有已安装的ISO文件的情况下运行。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

2021年1月11日

添加有关HDS设置工具和代理的信息,以为HDS主持人创建配置ISO

2020 年 10 月 13 日

已更新下载安装文件

2020 年 10 月 8 日

已更新为HDS主持人创建配置ISO ,并使用FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

已更新为HDS主持人创建配置ISO 并更改登录流程更改节点配置

2020年8月5日

已更新测试混合数据安全部署 ,了解日志消息中的更改。

已更新虚拟主持人要求 以删除最大主持人数量。

2020年6月16日

已更新删除节点 ,以便在Control Hub UI中进行更改。

2020年6月4日

已更新为HDS主持人创建配置ISO ,以用于可能设置的高级设置中的更改。

2020年5月29日

已更新为HDS主机创建配置ISO ,以显示您还可以使用TLS与SQL Server数据库、UI更改和其他说明。

2020年5月5日

已更新虚拟主机要求 以显示ESXi 6.5的新要求。

2020 年 4 月 21 日

通过新的Americas CI主持人更新了外部连接要求

2020 年 4 月 1 日

更新了外部连接要求 ,其中包含有关区域CI主持人的信息。

2020 年 2 月 20 日已更新为HDS主持人创建配置ISO ,其中包含有关HDS设置工具中的新可选高级设置屏幕的信息。
2020年2月4日已更新的代理服务器要求
2019年12月16日澄清了在代理服务器要求中运行的受阻止外部DNS解析模式的要求。
2019 年 11 月 19 日

在以下章节中添加了关于受阻止外部DNS解析模式的信息:

2019 年 11 月 8 日

现在可以在部署OVA时配置节点的网络设置,而不是稍后配置。

相应更新以下部分:

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

2019 年 9 月 6 日

将SQL Server标准添加到数据库服务器要求中。

2019 年 8 月 29 日已添加为混合数据安全配置Squid代理 附录,其中包含有关配置Squid代理以忽略WebSocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加和更新部分以涵盖混合数据安全节点通信到Webex云的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全和Webex视频网的代理支持 帮助文章。

2019年6月13日如果您的组织使用目录同步,将试用版更新为生产任务流程 ,并提醒在开始试用前,HdsTrialGroup 组对象同步。
2019年3月6日
2019 年 2 月 28 日

  • 已更正了每个服务器在准备成为混合数据安全节点的虚拟主机(从50 GB到20 GB)时应留出的本地硬盘空间量,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与TLS系统日志服务器的加密日志连接。已更新为HDS主持人创建配置ISO ,并附有说明。

  • 从“混合数据安全节点VM的互联网连接要求”表中删除目标URL。该表现在引用 Webex Teams Services的网络要求的“Webex Teams Hybrid Services的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现在支持Microsoft SQL Server作为数据库。SQL Server Always On(始终在故障转移集群和始终在可用性组中)由混合数据安全中使用的JDBC驱动程序支持。添加与使用SQL Server部署相关的内容。

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

已更改术语以反映Cisco Spark的品牌重塑:

  • Cisco Spark Hybrid Data Security现在是Hybrid Data Security。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton云现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • X.509 证书要求表中,规定证书不能为通配符证书,并且 KMS 应使用 CN 域,而非 x.509v3 SAN 字段中定义的任何域。

2018 年 1 月 18 日

2017 年 11 月 2 日

  • 澄清了 HdsTrialGroup 的目录同步。

  • 修改了上载 ISO 配置文件(用于安装至 VM 节点)的说明。

2017 年 8 月 18 日

首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署的详细信息,请参阅混合数据安全要求 (本文中)。

部署混合数据安全的期望

混合数据安全部署需要对客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件,在试用模式下使用一组用户测试部署,并在测试完成后进入生产。这会转换整个组织,以便将混合数据安全集群用于安全功能。

    安装、试用和生产阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Control Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Control Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后,首先尝试使用一组试点用户。在试用期间,这些用户使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务,则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对部署在试用用户中运行良好,并且已准备好将混合数据安全扩展到所有用户,请将部署移至生产。试用用户仍有权获取试用期间所用的密钥。但是,您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务(例如要执行灾难恢复),则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用,然后才能移回生产模式。用户在此处是否保留对数据的访问取决于您是否已成功维护集群中的混合数据安全节点的关键数据存储和ISO配置文件的备份。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。待机数据中心的ISO文件通过附加配置更新,确保节点已注册到组织,但不会处理流量。因此,待机数据中心的节点始终是最新的HDS软件版本。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

设置灾难恢复待机数据中心

按照以下步骤配置待机数据中心的ISO文件:

开始之前

  • 待机数据中心应镜像VM的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。(有关此故障转移模型的概述,请参阅灾难恢复待机数据中心 。)

  • 确保主动和被动集群节点数据库之间启用数据库同步。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

ISO文件必须是主要数据中心的原始ISO文件的副本,要对其进行以下配置更新。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置,将节点置于被动模式中。在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

 被动模式:“真”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统符号,验证节点是否处于被动模式。您应该能够在系统标语中查看“以被动模式配置的KMS”消息。

下一步

在ISO文件中配置 passiveMode 并保存后,无需使用 passiveMode 配置即可创建另一个ISO文件的副本,并将其保存在安全位置。未配置的被动模式 的ISO文件的副本有助于在灾难恢复期间快速故障转移。请参阅使用待机数据中心灾难恢复 了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的Webex组织已为Cisco Webex Control Hub的Pro Pack启用,并获取具有完整组织管理员权限的帐户凭据。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果组织使用目录同步,则需要在 Active Directory 中创建名为 HdsTrialGroup 的组,并添加试用用户。试用组中最多可拥有 250 位用户。必须先将 HdsTrialGroup 对象同步到云端,才能为组织开始试用。要同步组对象,请在目录连接器的配置 > 对象选择 菜单中选择它。(有关详细说明,请参阅 Cisco Directory连接器的部署指南。

给定空间的密钥由空间创建者设置。选择试点用户时,请记住,如果您决定永久停用Hybrid Data Security部署,所有用户将失去对试点用户创建的空间中的内容的访问权限。当用户的应用程序刷新内容的缓存副本后,丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

注册集群中的首个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建和注册更多节点

完成集群设置。

9

在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。
1

登录 https://admin.webex.com,然后单击服务

2

在“混合服务”部分中,找到混合数据安全卡,然后单击设置

如果卡禁用或您看不到该卡,请联系您的帐户团队或合作伙伴组织。向他们提供您的帐号,并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上方组织名称旁边的齿轮。

您还可以随时从设置 页面的帮助 部分下载OVA。在混合数据安全卡上,单击编辑设置 打开页面。然后单击帮助 部分中的下载混合数据安全软件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

3

选择 以表示您尚未设置节点,然后单击下一步

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Control Hub的客户管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的首个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“注册混合数据安全节点”页面。
4

选择,表示您已设置好节点并准备进行注册,然后单击下一步

5

在第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

8

单击警告消息中的继续。

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。
9

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
10

单击链接或关闭标签页,返回Control Hub混合数据安全页面。

混合数据安全页面上,将显示包含已注册节点的新集群。此节点将自动从云端下载最新的软件。

创建和注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

目前,您在完成混合数据安全先决条件 中创建的备用虚拟机是备用主机,仅在灾难恢复时使用;在此之前,它们不会在系统中注册。有关详细信息,请参阅使用待机数据中心进行灾难恢复

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“混合服务”部分中,找到混合数据安全卡,然后单击资源

    将显示混合数据安全资源页面。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

    会显示一条消息,表明您可以将节点注册到Webex云。

  6. 单击转至节点

    几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回Control Hub混合数据安全页面。

您的节点已注册。请注意,在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下一步

运行试用并转至生产 (下一章)

运行试用模式并转入生产模式

试用到生产任务流程

设置Hybrid Data Security集群后,您可以启动试点,向其添加用户,然后开始使用它来测试和验证您的部署,以便为迁移到生产做好准备。

开始之前

设置混合数据安全集群
1

如果适用,请同步 HdsTrialGroup 组对象。

如果您的组织为用户使用目录同步,则必须选择 HdsTrialGroup 组对象以同步到云,然后才能开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

2

激活试用

开始试用。在您执行此任务之前,您的节点会生成警报,表示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递到混合数据安全部署。

4

监控混合数据安全的运行状况

检查状态,并为警报设置电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

开始之前

如果贵公司为用户使用了目录同步,必须先选择 HdsTrialGroup 组对象以同步到云后,才能为组织开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

1

登录 https://admin.webex.com,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户 并输入一个或多个用户的电子邮件地址,以使用混合数据安全节点进行加密和索引服务。

(如果组织使用了目录同步,请使用 Active Directory 来管理试用组 HdsTrialGroup。)

测试混合数据安全部署

使用此程序测试混合数据安全加密场景。

开始之前

  • 设置混合数据安全部署。

  • 开始试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递到混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以试点用户身份登录Webex应用程序,然后创建空间,并邀请至少一名试点用户和一个非试点用户。

如果您停用Hybrid Data Security部署,一旦替换了客户端缓存的加密密钥副本,试点用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

控制中心中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,可在试用处于活动状态时随时添加或删除试用成员。

如果从试用中删除用户,用户的客户端将需要密钥以及来自云 KMS(而非 KMS)的密钥创建。如果客户端需要存储在 KMS 中的密钥,云 KMS 会代表用户去获取该密钥。

如果您的组织使用目录同步,请使用Active Directory(而不是此程序)管理试验组 HdsTrialGroup;您可以在Control Hub中查看组成员,但无法添加或删除它们。

1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户;或者,单击查看并编辑,以便从试用中删除用户。

4

输入要添加的一个或多个用户的电子邮件地址;或者,按用户标识逐个单击 X,这样也可以从试用中删除用户。然后单击“保存”。

从试用模式转入生产模式

如果对试用用户而言部署运转良好,而且您也感到满意,即可转入生产模式。当您转至生产时,组织中的所有用户都将使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。除非在执行灾难恢复的过程中停用服务,否则将无法从生产模式返回到试用模式。要重新激活服务,您需要设置新的试用。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击转入生产模式

4

确认是否要将所有用户转入生产模式。

在不转入生产模式的情况下结束试用

如果您在试用期间决定不继续混合数据安全部署,则可以停用混合数据安全,这将结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用过程中加密的数据。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“停用”部分中,单击停用

4

确认是否要停用服务并结束试用。

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录到 Control Hub。

2

在“概述”页面上,选择“混合服务”下的混合数据安全

3

在“混合数据安全资源”页面上,选择集群。

4

在右侧的“概述”面板中,选择“集群设置”下的集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如有需要,您可以通过单击推迟将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Control Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击打开节点列表

  5. 在节点选项卡上,选择要删除的节点。

  6. 单击操作 > 取消注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置或删除被动模式 配置,使节点处于活动状态。配置完成后,节点可以处理流量。

 被动模式:“错误”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统日志输出以验证待机数据中心的节点是否处于被动模式。“以被动模式配置的KMS”不应出现在系统中。

下一步

故障转移后,如果主数据中心再次处于活动状态,请按照设置灾难恢复待机数据中心中描述的步骤将待机数据中心重新置于被动模式。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Control Hub会向组织管理员显示警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

激活试用模式,或者完成从试用到生产的迁移。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

查看Control Hub以了解任何警报并修复您在此处找到的任何项目。

2

查看混合数据安全部署中的活动的syslog服务器输出。

3

联系 Cisco 支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Control Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,您的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。这也适用于试用和生产部署。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。当用户成为混合数据安全试用成员时,用户的客户端将继续使用现有的ECDH连接,直到它超时。或者,用户可以登录并重新登录Webex应用程序以更新应用程序为加密密钥联系的位置。

    当将组织从试用迁移到生产时,也会出现相同的情况。所有已与前一个数据安全服务建立 ECDH 连接的非试用用户都将继续使用这些服务,直至 ECDH 连接被重新协商(通过超时,或通过注销并重新登录)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

序言

新信息和已更改的信息

日期

已作更改

2025年1月07日

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

2021 年 10 月 13 日

在安装HDS节点之前,Docker Desktop需要运行设置程序。请参阅 Docker桌面要求

2021 年 6 月 24 日

请注意,您可以重用私钥文件和CSR请求另一个证书。有关详细信息,请参阅使用OpenSSL生成PKCS12文件

2021年4月30日

将本地硬盘空间的VM要求更改为30 GB。有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。有关详细信息,请参阅为HDS主持人创建配置ISO

2021 年 2 月 2 日

HDS现在可以在没有已安装的ISO文件的情况下运行。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

2021年1月11日

添加有关HDS设置工具和代理的信息,以为HDS主持人创建配置ISO

2020 年 10 月 13 日

已更新下载安装文件

2020 年 10 月 8 日

已更新为HDS主持人创建配置ISO ,并使用FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

已更新为HDS主持人创建配置ISO 并更改登录流程更改节点配置

2020年8月5日

已更新测试混合数据安全部署 ,了解日志消息中的更改。

已更新虚拟主持人要求 以删除最大主持人数量。

2020年6月16日

已更新删除节点 ,以便在Control Hub UI中进行更改。

2020年6月4日

已更新为HDS主持人创建配置ISO ,以用于可能设置的高级设置中的更改。

2020年5月29日

已更新为HDS主机创建配置ISO ,以显示您还可以使用TLS与SQL Server数据库、UI更改和其他说明。

2020年5月5日

已更新虚拟主机要求 以显示ESXi 6.5的新要求。

2020 年 4 月 21 日

通过新的Americas CI主持人更新了外部连接要求

2020 年 4 月 1 日

更新了外部连接要求 ,其中包含有关区域CI主持人的信息。

2020 年 2 月 20 日已更新为HDS主持人创建配置ISO ,其中包含有关HDS设置工具中的新可选高级设置屏幕的信息。
2020年2月4日已更新的代理服务器要求
2019年12月16日澄清了在代理服务器要求中运行的受阻止外部DNS解析模式的要求。
2019 年 11 月 19 日

在以下章节中添加了关于受阻止外部DNS解析模式的信息:

2019 年 11 月 8 日

现在可以在部署OVA时配置节点的网络设置,而不是稍后配置。

相应更新以下部分:

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

2019 年 9 月 6 日

将SQL Server标准添加到数据库服务器要求中。

2019 年 8 月 29 日已添加为混合数据安全配置Squid代理 附录,其中包含有关配置Squid代理以忽略WebSocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加和更新部分以涵盖混合数据安全节点通信到Webex云的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全和Webex视频网的代理支持 帮助文章。

2019年6月13日如果您的组织使用目录同步,将试用版更新为生产任务流程 ,并提醒在开始试用前,HdsTrialGroup 组对象同步。
2019年3月6日
2019 年 2 月 28 日

  • 已更正了每个服务器在准备成为混合数据安全节点的虚拟主机(从50 GB到20 GB)时应留出的本地硬盘空间量,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与TLS系统日志服务器的加密日志连接。已更新为HDS主持人创建配置ISO ,并附有说明。

  • 从“混合数据安全节点VM的互联网连接要求”表中删除目标URL。该表现在引用 Webex Teams Services的网络要求的“Webex Teams Hybrid Services的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现在支持Microsoft SQL Server作为数据库。SQL Server Always On(始终在故障转移集群和始终在可用性组中)由混合数据安全中使用的JDBC驱动程序支持。添加与使用SQL Server部署相关的内容。

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

已更改术语以反映Cisco Spark的品牌重塑:

  • Cisco Spark Hybrid Data Security现在是Hybrid Data Security。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton云现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • X.509 证书要求表中,规定证书不能为通配符证书,并且 KMS 应使用 CN 域,而非 x.509v3 SAN 字段中定义的任何域。

2018 年 1 月 18 日

2017 年 11 月 2 日

  • 澄清了 HdsTrialGroup 的目录同步。

  • 修改了上载 ISO 配置文件(用于安装至 VM 节点)的说明。

2017 年 8 月 18 日

首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署的详细信息,请参阅混合数据安全要求 (本文中)。

部署混合数据安全的期望

混合数据安全部署需要对客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件,在试用模式下使用一组用户测试部署,并在测试完成后进入生产。这会转换整个组织,以便将混合数据安全集群用于安全功能。

    安装、试用和生产阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Control Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Control Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后,首先尝试使用一组试点用户。在试用期间,这些用户使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务,则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对部署在试用用户中运行良好,并且已准备好将混合数据安全扩展到所有用户,请将部署移至生产。试用用户仍有权获取试用期间所用的密钥。但是,您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务(例如要执行灾难恢复),则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用,然后才能移回生产模式。用户在此处是否保留对数据的访问取决于您是否已成功维护集群中的混合数据安全节点的关键数据存储和ISO配置文件的备份。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。待机数据中心的ISO文件通过附加配置更新,确保节点已注册到组织,但不会处理流量。因此,待机数据中心的节点始终是最新的HDS软件版本。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

设置灾难恢复待机数据中心

按照以下步骤配置待机数据中心的ISO文件:

开始之前

  • 待机数据中心应镜像VM的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。(有关此故障转移模型的概述,请参阅灾难恢复待机数据中心 。)

  • 确保主动和被动集群节点数据库之间启用数据库同步。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

ISO文件必须是主要数据中心的原始ISO文件的副本,要对其进行以下配置更新。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置,将节点置于被动模式中。在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

 被动模式:“真”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统符号,验证节点是否处于被动模式。您应该能够在系统标语中查看“以被动模式配置的KMS”消息。

下一步

在ISO文件中配置 passiveMode 并保存后,无需使用 passiveMode 配置即可创建另一个ISO文件的副本,并将其保存在安全位置。未配置的被动模式 的ISO文件的副本有助于在灾难恢复期间快速故障转移。请参阅使用待机数据中心灾难恢复 了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的Webex组织已为Cisco Webex Control Hub的Pro Pack启用,并获取具有完整组织管理员权限的帐户凭据。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果组织使用目录同步,则需要在 Active Directory 中创建名为 HdsTrialGroup 的组,并添加试用用户。试用组中最多可拥有 250 位用户。必须先将 HdsTrialGroup 对象同步到云端,才能为组织开始试用。要同步组对象,请在目录连接器的配置 > 对象选择 菜单中选择它。(有关详细说明,请参阅 Cisco Directory连接器的部署指南。

给定空间的密钥由空间创建者设置。选择试点用户时,请记住,如果您决定永久停用Hybrid Data Security部署,所有用户将失去对试点用户创建的空间中的内容的访问权限。当用户的应用程序刷新内容的缓存副本后,丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

注册集群中的首个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建和注册更多节点

完成集群设置。

9

在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。
1

登录 https://admin.webex.com,然后单击服务

2

在“混合服务”部分中,找到混合数据安全卡,然后单击设置

如果卡禁用或您看不到该卡,请联系您的帐户团队或合作伙伴组织。向他们提供您的帐号,并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上方组织名称旁边的齿轮。

您还可以随时从设置 页面的帮助 部分下载OVA。在混合数据安全卡上,单击编辑设置 打开页面。然后单击帮助 部分中的下载混合数据安全软件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

3

选择 以表示您尚未设置节点,然后单击下一步

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Control Hub的客户管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的首个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“注册混合数据安全节点”页面。
4

选择,表示您已设置好节点并准备进行注册,然后单击下一步

5

在第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

8

单击警告消息中的继续。

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。
9

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
10

单击链接或关闭标签页,返回Control Hub混合数据安全页面。

混合数据安全页面上,将显示包含已注册节点的新集群。此节点将自动从云端下载最新的软件。

创建和注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

目前,您在完成混合数据安全先决条件 中创建的备用虚拟机是备用主机,仅在灾难恢复时使用;在此之前,它们不会在系统中注册。有关详细信息,请参阅使用待机数据中心进行灾难恢复

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“混合服务”部分中,找到混合数据安全卡,然后单击资源

    将显示混合数据安全资源页面。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

    会显示一条消息,表明您可以将节点注册到Webex云。

  6. 单击转至节点

    几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回Control Hub混合数据安全页面。

您的节点已注册。请注意,在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下一步

运行试用并转至生产 (下一章)

运行试用模式并转入生产模式

试用到生产任务流程

设置Hybrid Data Security集群后,您可以启动试点,向其添加用户,然后开始使用它来测试和验证您的部署,以便为迁移到生产做好准备。

开始之前

设置混合数据安全集群
1

如果适用,请同步 HdsTrialGroup 组对象。

如果您的组织为用户使用目录同步,则必须选择 HdsTrialGroup 组对象以同步到云,然后才能开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

2

激活试用

开始试用。在您执行此任务之前,您的节点会生成警报,表示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递到混合数据安全部署。

4

监控混合数据安全的运行状况

检查状态,并为警报设置电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

开始之前

如果贵公司为用户使用了目录同步,必须先选择 HdsTrialGroup 组对象以同步到云后,才能为组织开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

1

登录 https://admin.webex.com,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户 并输入一个或多个用户的电子邮件地址,以使用混合数据安全节点进行加密和索引服务。

(如果组织使用了目录同步,请使用 Active Directory 来管理试用组 HdsTrialGroup。)

测试混合数据安全部署

使用此程序测试混合数据安全加密场景。

开始之前

  • 设置混合数据安全部署。

  • 开始试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递到混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以试点用户身份登录Webex应用程序,然后创建空间,并邀请至少一名试点用户和一个非试点用户。

如果您停用Hybrid Data Security部署,一旦替换了客户端缓存的加密密钥副本,试点用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

控制中心中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,可在试用处于活动状态时随时添加或删除试用成员。

如果从试用中删除用户,用户的客户端将需要密钥以及来自云 KMS(而非 KMS)的密钥创建。如果客户端需要存储在 KMS 中的密钥,云 KMS 会代表用户去获取该密钥。

如果您的组织使用目录同步,请使用Active Directory(而不是此程序)管理试验组 HdsTrialGroup;您可以在Control Hub中查看组成员,但无法添加或删除它们。

1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户;或者,单击查看并编辑,以便从试用中删除用户。

4

输入要添加的一个或多个用户的电子邮件地址;或者,按用户标识逐个单击 X,这样也可以从试用中删除用户。然后单击“保存”。

从试用模式转入生产模式

如果对试用用户而言部署运转良好,而且您也感到满意,即可转入生产模式。当您转至生产时,组织中的所有用户都将使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。除非在执行灾难恢复的过程中停用服务,否则将无法从生产模式返回到试用模式。要重新激活服务,您需要设置新的试用。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击转入生产模式

4

确认是否要将所有用户转入生产模式。

在不转入生产模式的情况下结束试用

如果您在试用期间决定不继续混合数据安全部署,则可以停用混合数据安全,这将结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用过程中加密的数据。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“停用”部分中,单击停用

4

确认是否要停用服务并结束试用。

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录到 Control Hub。

2

在“概述”页面上,选择“混合服务”下的混合数据安全

3

在“混合数据安全资源”页面上,选择集群。

4

在右侧的“概述”面板中,选择“集群设置”下的集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如有需要,您可以通过单击推迟将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Control Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击打开节点列表

  5. 在节点选项卡上,选择要删除的节点。

  6. 单击操作 > 取消注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置或删除被动模式 配置,使节点处于活动状态。配置完成后,节点可以处理流量。

 被动模式:“错误”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统日志输出以验证待机数据中心的节点是否处于被动模式。“以被动模式配置的KMS”不应出现在系统中。

下一步

故障转移后,如果主数据中心再次处于活动状态,请按照设置灾难恢复待机数据中心中描述的步骤将待机数据中心重新置于被动模式。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Control Hub会向组织管理员显示警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

激活试用模式,或者完成从试用到生产的迁移。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

查看Control Hub以了解任何警报并修复您在此处找到的任何项目。

2

查看混合数据安全部署中的活动的syslog服务器输出。

3

联系 Cisco 支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Control Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,您的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。这也适用于试用和生产部署。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。当用户成为混合数据安全试用成员时,用户的客户端将继续使用现有的ECDH连接,直到它超时。或者,用户可以登录并重新登录Webex应用程序以更新应用程序为加密密钥联系的位置。

    当将组织从试用迁移到生产时,也会出现相同的情况。所有已与前一个数据安全服务建立 ECDH 连接的非试用用户都将继续使用这些服务,直至 ECDH 连接被重新协商(通过超时,或通过注销并重新登录)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

序言

新信息和已更改的信息

日期

已作更改

2025年1月30日

2025年1月07日

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

2021 年 10 月 13 日

在安装HDS节点之前,Docker Desktop需要运行设置程序。请参阅 Docker桌面要求

2021 年 6 月 24 日

请注意,您可以重用私钥文件和CSR请求另一个证书。有关详细信息,请参阅使用OpenSSL生成PKCS12文件

2021年4月30日

将本地硬盘空间的VM要求更改为30 GB。有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。有关详细信息,请参阅为HDS主持人创建配置ISO

2021 年 2 月 2 日

HDS现在可以在没有已安装的ISO文件的情况下运行。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

2021年1月11日

添加有关HDS设置工具和代理的信息,以为HDS主持人创建配置ISO

2020 年 10 月 13 日

已更新下载安装文件

2020 年 10 月 8 日

已更新为HDS主持人创建配置ISO ,并使用FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

已更新为HDS主持人创建配置ISO 并更改登录流程更改节点配置

2020年8月5日

已更新测试混合数据安全部署 ,了解日志消息中的更改。

已更新虚拟主持人要求 以删除最大主持人数量。

2020年6月16日

已更新删除节点 ,以便在Control Hub UI中进行更改。

2020年6月4日

已更新为HDS主持人创建配置ISO ,以用于可能设置的高级设置中的更改。

2020年5月29日

已更新为HDS主机创建配置ISO ,以显示您还可以使用TLS与SQL Server数据库、UI更改和其他说明。

2020年5月5日

已更新虚拟主机要求 以显示ESXi 6.5的新要求。

2020 年 4 月 21 日

通过新的Americas CI主持人更新了外部连接要求

2020 年 4 月 1 日

更新了外部连接要求 ,其中包含有关区域CI主持人的信息。

2020 年 2 月 20 日已更新为HDS主持人创建配置ISO ,其中包含有关HDS设置工具中的新可选高级设置屏幕的信息。
2020年2月4日已更新的代理服务器要求
2019年12月16日澄清了在代理服务器要求中运行的受阻止外部DNS解析模式的要求。
2019 年 11 月 19 日

在以下章节中添加了关于受阻止外部DNS解析模式的信息:

2019 年 11 月 8 日

现在可以在部署OVA时配置节点的网络设置,而不是稍后配置。

相应更新以下部分:

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

2019 年 9 月 6 日

将SQL Server标准添加到数据库服务器要求中。

2019 年 8 月 29 日已添加为混合数据安全配置Squid代理 附录,其中包含有关配置Squid代理以忽略WebSocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加和更新部分以涵盖混合数据安全节点通信到Webex云的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全和Webex视频网的代理支持 帮助文章。

2019年6月13日如果您的组织使用目录同步,将试用版更新为生产任务流程 ,并提醒在开始试用前,HdsTrialGroup 组对象同步。
2019年3月6日
2019 年 2 月 28 日

  • 已更正了每个服务器在准备成为混合数据安全节点的虚拟主机(从50 GB到20 GB)时应留出的本地硬盘空间量,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与TLS系统日志服务器的加密日志连接。已更新为HDS主持人创建配置ISO ,并附有说明。

  • 从“混合数据安全节点VM的互联网连接要求”表中删除目标URL。该表现在引用 Webex Teams Services的网络要求的“Webex Teams Hybrid Services的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现在支持Microsoft SQL Server作为数据库。SQL Server Always On(始终在故障转移集群和始终在可用性组中)由混合数据安全中使用的JDBC驱动程序支持。添加与使用SQL Server部署相关的内容。

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

已更改术语以反映Cisco Spark的品牌重塑:

  • Cisco Spark Hybrid Data Security现在是Hybrid Data Security。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton云现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • X.509 证书要求表中,规定证书不能为通配符证书,并且 KMS 应使用 CN 域,而非 x.509v3 SAN 字段中定义的任何域。

2018 年 1 月 18 日

2017 年 11 月 2 日

  • 澄清了 HdsTrialGroup 的目录同步。

  • 修改了上载 ISO 配置文件(用于安装至 VM 节点)的说明。

2017 年 8 月 18 日

首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署的详细信息,请参阅混合数据安全要求 (本文中)。

部署混合数据安全的期望

混合数据安全部署需要对客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件,在试用模式下使用一组用户测试部署,并在测试完成后进入生产。这会转换整个组织,以便将混合数据安全集群用于安全功能。

    安装、试用和生产阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Control Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Control Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后,首先尝试使用一组试点用户。在试用期间,这些用户使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务,则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对部署在试用用户中运行良好,并且已准备好将混合数据安全扩展到所有用户,请将部署移至生产。试用用户仍有权获取试用期间所用的密钥。但是,您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务(例如要执行灾难恢复),则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用,然后才能移回生产模式。用户在此处是否保留对数据的访问取决于您是否已成功维护集群中的混合数据安全节点的关键数据存储和ISO配置文件的备份。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。待机数据中心的ISO文件通过附加配置更新,确保节点已注册到组织,但不会处理流量。因此,待机数据中心的节点始终是最新的HDS软件版本。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

设置灾难恢复待机数据中心

按照以下步骤配置待机数据中心的ISO文件:

开始之前

  • 待机数据中心应镜像VM的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。(有关此故障转移模型的概述,请参阅灾难恢复待机数据中心 。)

  • 确保主动和被动集群节点数据库之间启用数据库同步。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

ISO文件必须是主要数据中心的原始ISO文件的副本,要对其进行以下配置更新。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置,将节点置于被动模式中。在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

 被动模式:“真”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统符号,验证节点是否处于被动模式。您应该能够在系统标语中查看“以被动模式配置的KMS”消息。

下一步

在ISO文件中配置 passiveMode 并保存后,无需使用 passiveMode 配置即可创建另一个ISO文件的副本,并将其保存在安全位置。未配置的被动模式 的ISO文件的副本有助于在灾难恢复期间快速故障转移。请参阅使用待机数据中心灾难恢复 了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017、2019或2022(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的Webex组织已为Cisco Webex Control Hub的Pro Pack启用,并获取具有完整组织管理员权限的帐户凭据。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果组织使用目录同步,则需要在 Active Directory 中创建名为 HdsTrialGroup 的组,并添加试用用户。试用组中最多可拥有 250 位用户。必须先将 HdsTrialGroup 对象同步到云端,才能为组织开始试用。要同步组对象,请在目录连接器的配置 > 对象选择 菜单中选择它。(有关详细说明,请参阅 Cisco Directory连接器的部署指南。

给定空间的密钥由空间创建者设置。选择试点用户时,请记住,如果您决定永久停用Hybrid Data Security部署,所有用户将失去对试点用户创建的空间中的内容的访问权限。当用户的应用程序刷新内容的缓存副本后,丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

注册集群中的首个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建和注册更多节点

完成集群设置。

9

在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。
1

登录 https://admin.webex.com,然后单击服务

2

在“混合服务”部分中,找到混合数据安全卡,然后单击设置

如果卡禁用或您看不到该卡,请联系您的帐户团队或合作伙伴组织。向他们提供您的帐号,并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上方组织名称旁边的齿轮。

您还可以随时从设置 页面的帮助 部分下载OVA。在混合数据安全卡上,单击编辑设置 打开页面。然后单击帮助 部分中的下载混合数据安全软件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

3

选择 以表示您尚未设置节点,然后单击下一步

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Control Hub的客户管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的首个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“注册混合数据安全节点”页面。
4

选择,表示您已设置好节点并准备进行注册,然后单击下一步

5

在第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

8

单击警告消息中的继续。

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。
9

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
10

单击链接或关闭标签页,返回Control Hub混合数据安全页面。

混合数据安全页面上,将显示包含已注册节点的新集群。此节点将自动从云端下载最新的软件。

创建和注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

目前,您在完成混合数据安全先决条件 中创建的备用虚拟机是备用主机,仅在灾难恢复时使用;在此之前,它们不会在系统中注册。有关详细信息,请参阅使用待机数据中心进行灾难恢复

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“混合服务”部分中,找到混合数据安全卡,然后单击资源

    将显示混合数据安全资源页面。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

    会显示一条消息,表明您可以将节点注册到Webex云。

  6. 单击转至节点

    几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回Control Hub混合数据安全页面。

您的节点已注册。请注意,在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下一步

运行试用并转至生产 (下一章)

运行试用模式并转入生产模式

试用到生产任务流程

设置Hybrid Data Security集群后,您可以启动试点,向其添加用户,然后开始使用它来测试和验证您的部署,以便为迁移到生产做好准备。

开始之前

设置混合数据安全集群
1

如果适用,请同步 HdsTrialGroup 组对象。

如果您的组织为用户使用目录同步,则必须选择 HdsTrialGroup 组对象以同步到云,然后才能开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

2

激活试用

开始试用。在您执行此任务之前,您的节点会生成警报,表示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递到混合数据安全部署。

4

监控混合数据安全的运行状况

检查状态,并为警报设置电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

开始之前

如果贵公司为用户使用了目录同步,必须先选择 HdsTrialGroup 组对象以同步到云后,才能为组织开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

1

登录 https://admin.webex.com,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户 并输入一个或多个用户的电子邮件地址,以使用混合数据安全节点进行加密和索引服务。

(如果组织使用了目录同步,请使用 Active Directory 来管理试用组 HdsTrialGroup。)

测试混合数据安全部署

使用此程序测试混合数据安全加密场景。

开始之前

  • 设置混合数据安全部署。

  • 开始试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递到混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以试点用户身份登录Webex应用程序,然后创建空间,并邀请至少一名试点用户和一个非试点用户。

如果您停用Hybrid Data Security部署,一旦替换了客户端缓存的加密密钥副本,试点用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

控制中心中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,可在试用处于活动状态时随时添加或删除试用成员。

如果从试用中删除用户,用户的客户端将需要密钥以及来自云 KMS(而非 KMS)的密钥创建。如果客户端需要存储在 KMS 中的密钥,云 KMS 会代表用户去获取该密钥。

如果您的组织使用目录同步,请使用Active Directory(而不是此程序)管理试验组 HdsTrialGroup;您可以在Control Hub中查看组成员,但无法添加或删除它们。

1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户;或者,单击查看并编辑,以便从试用中删除用户。

4

输入要添加的一个或多个用户的电子邮件地址;或者,按用户标识逐个单击 X,这样也可以从试用中删除用户。然后单击“保存”。

从试用模式转入生产模式

如果对试用用户而言部署运转良好,而且您也感到满意,即可转入生产模式。当您转至生产时,组织中的所有用户都将使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。除非在执行灾难恢复的过程中停用服务,否则将无法从生产模式返回到试用模式。要重新激活服务,您需要设置新的试用。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击转入生产模式

4

确认是否要将所有用户转入生产模式。

在不转入生产模式的情况下结束试用

如果您在试用期间决定不继续混合数据安全部署,则可以停用混合数据安全,这将结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用过程中加密的数据。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“停用”部分中,单击停用

4

确认是否要停用服务并结束试用。

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录到 Control Hub。

2

在“概述”页面上,选择“混合服务”下的混合数据安全

3

在“混合数据安全资源”页面上,选择集群。

4

在右侧的“概述”面板中,选择“集群设置”下的集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如有需要,您可以通过单击推迟将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Control Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击打开节点列表

  5. 在节点选项卡上,选择要删除的节点。

  6. 单击操作 > 取消注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置或删除被动模式 配置,使节点处于活动状态。配置完成后,节点可以处理流量。

 被动模式:“错误”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统日志输出以验证待机数据中心的节点是否处于被动模式。“以被动模式配置的KMS”不应出现在系统中。

下一步

故障转移后,如果主数据中心再次处于活动状态,请按照设置灾难恢复待机数据中心中描述的步骤将待机数据中心重新置于被动模式。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Control Hub会向组织管理员显示警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

激活试用模式,或者完成从试用到生产的迁移。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

查看Control Hub以了解任何警报并修复您在此处找到的任何项目。

2

查看混合数据安全部署中的活动的syslog服务器输出。

3

联系 Cisco 支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Control Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,您的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。这也适用于试用和生产部署。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。当用户成为混合数据安全试用成员时,用户的客户端将继续使用现有的ECDH连接,直到它超时。或者,用户可以登录并重新登录Webex应用程序以更新应用程序为加密密钥联系的位置。

    当将组织从试用迁移到生产时,也会出现相同的情况。所有已与前一个数据安全服务建立 ECDH 连接的非试用用户都将继续使用这些服务,直至 ECDH 连接被重新协商(通过超时,或通过注销并重新登录)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

序言

新信息和已更改的信息

日期

已作更改

2025年1月30日

2025年1月07日

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

2021 年 10 月 13 日

在安装HDS节点之前,Docker Desktop需要运行设置程序。请参阅 Docker桌面要求

2021 年 6 月 24 日

请注意,您可以重用私钥文件和CSR请求另一个证书。有关详细信息,请参阅使用OpenSSL生成PKCS12文件

2021年4月30日

将本地硬盘空间的VM要求更改为30 GB。有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。有关详细信息,请参阅为HDS主持人创建配置ISO

2021 年 2 月 2 日

HDS现在可以在没有已安装的ISO文件的情况下运行。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

2021年1月11日

添加有关HDS设置工具和代理的信息,以为HDS主持人创建配置ISO

2020 年 10 月 13 日

已更新下载安装文件

2020 年 10 月 8 日

已更新为HDS主持人创建配置ISO ,并使用FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

已更新为HDS主持人创建配置ISO 并更改登录流程更改节点配置

2020年8月5日

已更新测试混合数据安全部署 ,了解日志消息中的更改。

已更新虚拟主持人要求 以删除最大主持人数量。

2020年6月16日

已更新删除节点 ,以便在Control Hub UI中进行更改。

2020年6月4日

已更新为HDS主持人创建配置ISO ,以用于可能设置的高级设置中的更改。

2020年5月29日

已更新为HDS主机创建配置ISO ,以显示您还可以使用TLS与SQL Server数据库、UI更改和其他说明。

2020年5月5日

已更新虚拟主机要求 以显示ESXi 6.5的新要求。

2020 年 4 月 21 日

通过新的Americas CI主持人更新了外部连接要求

2020 年 4 月 1 日

更新了外部连接要求 ,其中包含有关区域CI主持人的信息。

2020 年 2 月 20 日已更新为HDS主持人创建配置ISO ,其中包含有关HDS设置工具中的新可选高级设置屏幕的信息。
2020年2月4日已更新的代理服务器要求
2019年12月16日澄清了在代理服务器要求中运行的受阻止外部DNS解析模式的要求。
2019 年 11 月 19 日

在以下章节中添加了关于受阻止外部DNS解析模式的信息:

2019 年 11 月 8 日

现在可以在部署OVA时配置节点的网络设置,而不是稍后配置。

相应更新以下部分:

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

2019 年 9 月 6 日

将SQL Server标准添加到数据库服务器要求中。

2019 年 8 月 29 日已添加为混合数据安全配置Squid代理 附录,其中包含有关配置Squid代理以忽略WebSocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加和更新部分以涵盖混合数据安全节点通信到Webex云的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全和Webex视频网的代理支持 帮助文章。

2019年6月13日如果您的组织使用目录同步,将试用版更新为生产任务流程 ,并提醒在开始试用前,HdsTrialGroup 组对象同步。
2019年3月6日
2019 年 2 月 28 日

  • 已更正了每个服务器在准备成为混合数据安全节点的虚拟主机(从50 GB到20 GB)时应留出的本地硬盘空间量,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与TLS系统日志服务器的加密日志连接。已更新为HDS主持人创建配置ISO ,并附有说明。

  • 从“混合数据安全节点VM的互联网连接要求”表中删除目标URL。该表现在引用 Webex Teams Services的网络要求的“Webex Teams Hybrid Services的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现在支持Microsoft SQL Server作为数据库。SQL Server Always On(始终在故障转移集群和始终在可用性组中)由混合数据安全中使用的JDBC驱动程序支持。添加与使用SQL Server部署相关的内容。

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

已更改术语以反映Cisco Spark的品牌重塑:

  • Cisco Spark Hybrid Data Security现在是Hybrid Data Security。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton云现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • X.509 证书要求表中,规定证书不能为通配符证书,并且 KMS 应使用 CN 域,而非 x.509v3 SAN 字段中定义的任何域。

2018 年 1 月 18 日

2017 年 11 月 2 日

  • 澄清了 HdsTrialGroup 的目录同步。

  • 修改了上载 ISO 配置文件(用于安装至 VM 节点)的说明。

2017 年 8 月 18 日

首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署的详细信息,请参阅混合数据安全要求 (本文中)。

部署混合数据安全的期望

混合数据安全部署需要对客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件,在试用模式下使用一组用户测试部署,并在测试完成后进入生产。这会转换整个组织,以便将混合数据安全集群用于安全功能。

    安装、试用和生产阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Control Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Control Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后,首先尝试使用一组试点用户。在试用期间,这些用户使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务,则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对部署在试用用户中运行良好,并且已准备好将混合数据安全扩展到所有用户,请将部署移至生产。试用用户仍有权获取试用期间所用的密钥。但是,您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务(例如要执行灾难恢复),则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用,然后才能移回生产模式。用户在此处是否保留对数据的访问取决于您是否已成功维护集群中的混合数据安全节点的关键数据存储和ISO配置文件的备份。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。待机数据中心的ISO文件通过附加配置更新,确保节点已注册到组织,但不会处理流量。因此,待机数据中心的节点始终是最新的HDS软件版本。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

设置灾难恢复待机数据中心

按照以下步骤配置待机数据中心的ISO文件:

开始之前

  • 待机数据中心应镜像VM的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。(有关此故障转移模型的概述,请参阅灾难恢复待机数据中心 。)

  • 确保主动和被动集群节点数据库之间启用数据库同步。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

ISO文件必须是主要数据中心的原始ISO文件的副本,要对其进行以下配置更新。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置,将节点置于被动模式中。在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。

 被动模式:“真”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统符号,验证节点是否处于被动模式。您应该能够在系统标语中查看“以被动模式配置的KMS”消息。

下一步

在ISO文件中配置 passiveMode 并保存后,无需使用 passiveMode 配置即可创建另一个ISO文件的副本,并将其保存在安全位置。未配置的被动模式 的ISO文件的副本有助于在灾难恢复期间快速故障转移。请参阅使用待机数据中心灾难恢复 了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017、2019或2022(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的Webex组织已为Cisco Webex Control Hub的Pro Pack启用,并获取具有完整组织管理员权限的帐户凭据。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果组织使用目录同步,则需要在 Active Directory 中创建名为 HdsTrialGroup 的组,并添加试用用户。试用组中最多可拥有 250 位用户。必须先将 HdsTrialGroup 对象同步到云端,才能为组织开始试用。要同步组对象,请在目录连接器的配置 > 对象选择 菜单中选择它。(有关详细说明,请参阅 Cisco Directory连接器的部署指南。

给定空间的密钥由空间创建者设置。选择试点用户时,请记住,如果您决定永久停用Hybrid Data Security部署,所有用户将失去对试点用户创建的空间中的内容的访问权限。当用户的应用程序刷新内容的缓存副本后,丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

注册集群中的首个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建和注册更多节点

完成集群设置。

9

在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。
1

登录 https://admin.webex.com,然后单击服务

2

在“混合服务”部分中,找到混合数据安全卡,然后单击设置

如果卡禁用或您看不到该卡,请联系您的帐户团队或合作伙伴组织。向他们提供您的帐号,并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上方组织名称旁边的齿轮。

您还可以随时从设置 页面的帮助 部分下载OVA。在混合数据安全卡上,单击编辑设置 打开页面。然后单击帮助 部分中的下载混合数据安全软件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

3

选择 以表示您尚未设置节点,然后单击下一步

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Control Hub的客户管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的首个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“注册混合数据安全节点”页面。
4

选择,表示您已设置好节点并准备进行注册,然后单击下一步

5

在第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

8

单击警告消息中的继续。

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。
9

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
10

单击链接或关闭标签页,返回Control Hub混合数据安全页面。

混合数据安全页面上,将显示包含已注册节点的新集群。此节点将自动从云端下载最新的软件。

创建和注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

目前,您在完成混合数据安全先决条件 中创建的备用虚拟机是备用主机,仅在灾难恢复时使用;在此之前,它们不会在系统中注册。有关详细信息,请参阅使用待机数据中心进行灾难恢复

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“混合服务”部分中,找到混合数据安全卡,然后单击资源

    将显示混合数据安全资源页面。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

    会显示一条消息,表明您可以将节点注册到Webex云。

  6. 单击转至节点

    几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回Control Hub混合数据安全页面。

您的节点已注册。请注意,在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下一步

运行试用并转至生产 (下一章)

运行试用模式并转入生产模式

试用到生产任务流程

设置Hybrid Data Security集群后,您可以启动试点,向其添加用户,然后开始使用它来测试和验证您的部署,以便为迁移到生产做好准备。

开始之前

设置混合数据安全集群
1

如果适用,请同步 HdsTrialGroup 组对象。

如果您的组织为用户使用目录同步,则必须选择 HdsTrialGroup 组对象以同步到云,然后才能开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

2

激活试用

开始试用。在您执行此任务之前,您的节点会生成警报,表示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递到混合数据安全部署。

4

监控混合数据安全的运行状况

检查状态,并为警报设置电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

开始之前

如果贵公司为用户使用了目录同步,必须先选择 HdsTrialGroup 组对象以同步到云后,才能为组织开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

1

登录 https://admin.webex.com,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户 并输入一个或多个用户的电子邮件地址,以使用混合数据安全节点进行加密和索引服务。

(如果组织使用了目录同步,请使用 Active Directory 来管理试用组 HdsTrialGroup。)

测试混合数据安全部署

使用此程序测试混合数据安全加密场景。

开始之前

  • 设置混合数据安全部署。

  • 开始试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递到混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以试点用户身份登录Webex应用程序,然后创建空间,并邀请至少一名试点用户和一个非试点用户。

如果您停用Hybrid Data Security部署,一旦替换了客户端缓存的加密密钥副本,试点用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

控制中心中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,可在试用处于活动状态时随时添加或删除试用成员。

如果从试用中删除用户,用户的客户端将需要密钥以及来自云 KMS(而非 KMS)的密钥创建。如果客户端需要存储在 KMS 中的密钥,云 KMS 会代表用户去获取该密钥。

如果您的组织使用目录同步,请使用Active Directory(而不是此程序)管理试验组 HdsTrialGroup;您可以在Control Hub中查看组成员,但无法添加或删除它们。

1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户;或者,单击查看并编辑,以便从试用中删除用户。

4

输入要添加的一个或多个用户的电子邮件地址;或者,按用户标识逐个单击 X,这样也可以从试用中删除用户。然后单击“保存”。

从试用模式转入生产模式

如果对试用用户而言部署运转良好,而且您也感到满意,即可转入生产模式。当您转至生产时,组织中的所有用户都将使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。除非在执行灾难恢复的过程中停用服务,否则将无法从生产模式返回到试用模式。要重新激活服务,您需要设置新的试用。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击转入生产模式

4

确认是否要将所有用户转入生产模式。

在不转入生产模式的情况下结束试用

如果您在试用期间决定不继续混合数据安全部署,则可以停用混合数据安全,这将结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用过程中加密的数据。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“停用”部分中,单击停用

4

确认是否要停用服务并结束试用。

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录到 Control Hub。

2

在“概述”页面上,选择“混合服务”下的混合数据安全

3

在“混合数据安全资源”页面上,选择集群。

4

在右侧的“概述”面板中,选择“集群设置”下的集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如有需要,您可以通过单击推迟将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Control Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击打开节点列表

  5. 在节点选项卡上,选择要删除的节点。

  6. 单击操作 > 取消注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置或删除被动模式 配置,使节点处于活动状态。配置完成后,节点可以处理流量。

 被动模式:“错误”

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统日志输出以验证待机数据中心的节点是否处于被动模式。“以被动模式配置的KMS”不应出现在系统中。

下一步

故障转移后,如果主数据中心再次处于活动状态,请按照设置灾难恢复待机数据中心中描述的步骤将待机数据中心重新置于被动模式。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Control Hub会向组织管理员显示警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

激活试用模式,或者完成从试用到生产的迁移。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

查看Control Hub以了解任何警报并修复您在此处找到的任何项目。

2

查看混合数据安全部署中的活动的syslog服务器输出。

3

联系 Cisco 支持人员

其他备注

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Control Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,您的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。这也适用于试用和生产部署。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。当用户成为混合数据安全试用成员时,用户的客户端将继续使用现有的ECDH连接,直到它超时。或者,用户可以登录并重新登录Webex应用程序以更新应用程序为加密密钥联系的位置。

    当将组织从试用迁移到生产时,也会出现相同的情况。所有已与前一个数据安全服务建立 ECDH 连接的非试用用户都将继续使用这些服务,直至 ECDH 连接被重新协商(通过超时,或通过注销并重新登录)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

其他备注

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Control Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,您的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。这也适用于试用和生产部署。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。当用户成为混合数据安全试用成员时,用户的客户端将继续使用现有的ECDH连接,直到它超时。或者,用户可以登录并重新登录Webex应用程序以更新应用程序为加密密钥联系的位置。

    当将组织从试用迁移到生产时,也会出现相同的情况。所有已与前一个数据安全服务建立 ECDH 连接的非试用用户都将继续使用这些服务,直至 ECDH 连接被重新协商(通过超时,或通过注销并重新登录)。

使用Podman桌面运行HDS设置工具

Podman是一个免费的开源容器管理工具,提供了一种运行、管理和创建容器的方式。可以从 https://podman-desktop.io/downloads 下载Podman Desktop。

  • 在本地计算机上,HDS 安装工具是以 Docker 容器的形式运行的。要访问它,请在该计算机上下载并运行Podman。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

podman rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

podman rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

podman login docker.io -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

podman pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

podman pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

下一步

按照为HDS主持人创建配置ISO更改节点配置 中的剩余步骤创建或更改ISO配置。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

当您从CA收到服务器证书时,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

使用友好名称 kms-private-key 创建。p12文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,验证私钥和第一个证书是否包含行 friendlyName: kms-private-key

    示例:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

下一步

返回完成混合数据安全的先决条件。您将在hdsnode.p12 为HDS主机创建配置ISO中使用hdsnode.p12 文件和设置的密码。

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的WebSocket (wss:)连接的建立。这些部分提供有关如何配置不同版本的Squid以忽略wss: 流量以正确运行服务的指导。

Squid 4 和 5

on_unsupported_protocol 指令添加至squid.conf

on_unsupported_protocol tunnel all

Squid 3.5.27

我们通过添加到 squid.conf 的以下规则成功测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

序言

新信息和已更改的信息

日期

已作更改

2025年3月3日

2025年1月30日

2025年1月07日

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

2021 年 10 月 13 日

在安装HDS节点之前,Docker Desktop需要运行设置程序。请参阅 Docker桌面要求

2021 年 6 月 24 日

请注意,您可以重用私钥文件和CSR请求另一个证书。有关详细信息,请参阅使用OpenSSL生成PKCS12文件

2021年4月30日

将本地硬盘空间的VM要求更改为30 GB。有关详细信息,请参阅虚拟主机要求

2021 年 2 月 24 日

HDS设置工具现在可以在代理后运行。有关详细信息,请参阅为HDS主持人创建配置ISO

2021 年 2 月 2 日

HDS现在可以在没有已安装的ISO文件的情况下运行。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

2021年1月11日

添加有关HDS设置工具和代理的信息,以为HDS主持人创建配置ISO

2020 年 10 月 13 日

已更新下载安装文件

2020 年 10 月 8 日

已更新为HDS主持人创建配置ISO ,并使用FedRAMP环境的命令更改节点配置

2020 年 8 月 14 日

已更新为HDS主持人创建配置ISO 并更改登录流程更改节点配置

2020年8月5日

已更新测试混合数据安全部署 ,了解日志消息中的更改。

已更新虚拟主持人要求 以删除最大主持人数量。

2020年6月16日

已更新删除节点 ,以便在Control Hub UI中进行更改。

2020年6月4日

已更新为HDS主持人创建配置ISO ,以用于可能设置的高级设置中的更改。

2020年5月29日

已更新为HDS主机创建配置ISO ,以显示您还可以使用TLS与SQL Server数据库、UI更改和其他说明。

2020年5月5日

已更新虚拟主机要求 以显示ESXi 6.5的新要求。

2020 年 4 月 21 日

通过新的Americas CI主持人更新了外部连接要求

2020 年 4 月 1 日

更新了外部连接要求 ,其中包含有关区域CI主持人的信息。

2020 年 2 月 20 日已更新为HDS主持人创建配置ISO ,其中包含有关HDS设置工具中的新可选高级设置屏幕的信息。
2020年2月4日已更新的代理服务器要求
2019年12月16日澄清了在代理服务器要求中运行的受阻止外部DNS解析模式的要求。
2019 年 11 月 19 日

在以下章节中添加了关于受阻止外部DNS解析模式的信息:

2019 年 11 月 8 日

现在可以在部署OVA时配置节点的网络设置,而不是稍后配置。

相应更新以下部分:

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

2019 年 9 月 6 日

将SQL Server标准添加到数据库服务器要求中。

2019 年 8 月 29 日已添加为混合数据安全配置Squid代理 附录,其中包含有关配置Squid代理以忽略WebSocket流量以进行正确操作的指导。
2019 年 8 月 20 日

添加和更新部分以涵盖混合数据安全节点通信到Webex云的代理支持。

要仅访问现有部署的代理支持内容,请参阅混合数据安全和Webex视频网的代理支持 帮助文章。

2019年6月13日更新了试用到生产任务流程 ,并提醒您HdsTrialGroup 如果组织使用目录同步,则在开始试用之前将组对象同步。
2019年3月6日
2019 年 2 月 28 日

  • 已更正了每个服务器在准备成为混合数据安全节点的虚拟主机(从50 GB到20 GB)时应留出的本地硬盘空间量,以反映OVA创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与PostgreSQL数据库服务器的加密连接,以及与TLS系统日志服务器的加密日志连接。已更新为HDS主持人创建配置ISO ,并附有说明。

  • 从“混合数据安全节点VM的互联网连接要求”表中删除目标URL。该表现在引用 Webex Teams Services的网络要求的“Webex Teams Hybrid Services的其他URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现在支持Microsoft SQL Server作为数据库。SQL Server Always On(始终在故障转移集群和始终在可用性组中)由混合数据安全中使用的JDBC驱动程序支持。添加与使用SQL Server部署相关的内容。

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

已更改术语以反映Cisco Spark的品牌重塑:

  • Cisco Spark Hybrid Data Security现在是Hybrid Data Security。

  • Cisco Spark应用程序现在是Webex应用程序。

  • Cisco Collaboraton云现在是Webex云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • X.509 证书要求表中,规定证书不能为通配符证书,并且 KMS 应使用 CN 域,而非 x.509v3 SAN 字段中定义的任何域。

2018 年 1 月 18 日

2017 年 11 月 2 日

  • 澄清了 HdsTrialGroup 的目录同步。

  • 修改了上载 ISO 配置文件(用于安装至 VM 节点)的说明。

2017 年 8 月 18 日

首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合混合数据安全部署的详细信息,请参阅混合数据安全要求 (本文中)。

部署混合数据安全的期望

混合数据安全部署需要对客户做出重大承诺,并了解拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件,在试用模式下使用一组用户测试部署,并在测试完成后进入生产。这会转换整个组织,以便将混合数据安全集群用于安全功能。

    安装、试用和生产阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Control Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Control Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后,首先尝试使用一组试点用户。在试用期间,这些用户使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务,则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在Webex应用程序中看到“此消息无法解密”。

如果您对部署在试用用户中运行良好,并且已准备好将混合数据安全扩展到所有用户,请将部署移至生产。试用用户仍有权获取试用期间所用的密钥。但是,您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务(例如要执行灾难恢复),则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用,然后才能移回生产模式。用户在此处是否保留对数据的访问取决于您是否已成功维护集群中的混合数据安全节点的关键数据存储和ISO配置文件的备份。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。待机数据中心的ISO文件通过附加配置更新,确保节点已注册到组织,但不会处理流量。因此,待机数据中心的节点始终是最新的HDS软件版本。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

设置灾难恢复待机数据中心

按照以下步骤配置待机数据中心的ISO文件:

开始之前

  • 待机数据中心应镜像VM的生产环境和备份PostgreSQL或Microsoft SQL Server数据库。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。(有关此故障转移模型的概述,请参阅灾难恢复待机数据中心 。)

  • 确保主动和被动集群节点数据库之间启用数据库同步。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

ISO文件必须是主要数据中心的原始ISO文件的副本,要对其进行以下配置更新。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置,将节点置于被动模式中。在此模式下,节点将注册到组织并连接到云,但不会处理任何流量。


passiveMode: 'true'

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统符号,验证节点是否处于被动模式。您应该能够在系统标语中查看“以被动模式配置的KMS”消息。

下一步

在ISO文件中配置passiveMode 并保存后,无需配置passiveMode 即可创建另一个ISO文件的副本,并将其保存在安全位置。未配置的ISO文件副本passiveMode 有助于在灾难恢复期间快速故障转移。请参阅使用待机数据中心灾难恢复 了解详细的故障转移程序。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全要求

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

没有Docker Desktop许可证的客户可以使用开源容器管理工具(如Podman Desktop)来运行、管理和创建容器。有关详细信息,请参阅使用Podman桌面运行HDS设置工具

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。我们建议您使用反映您组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用kms-private-key 友好名称标记要上传的证书、私钥和任何中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017、2019或2022(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果出现此问题,绕过(不检查)流量至wbx2.comciscospark.com 将解决问题。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的Webex组织已为Cisco Webex Control Hub的Pro Pack启用,并获取具有完整组织管理员权限的帐户凭据。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

11

如果您的组织使用目录同步,请在Active Directory中创建名为 HdsTrialGroup 的群组,并添加引导用户。试用组中最多可拥有 250 位用户。HdsTrialGroup 对象必须同步到云,然后才能为您的组织开始试用。要同步组对象,请在目录连接器的配置 > 对象选择 菜单中选择它。(有关详细说明,请参阅 Cisco Directory连接器的部署指南。

给定空间的密钥由空间创建者设置。选择试点用户时,请记住,如果您决定永久停用Hybrid Data Security部署,所有用户将失去对试点用户创建的空间中的内容的访问权限。当用户的应用程序刷新内容的缓存副本后,丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

注册集群中的首个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建和注册更多节点

完成集群设置。

9

在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。
1

登录 https://admin.webex.com,然后单击服务

2

在“混合服务”部分中,找到混合数据安全卡,然后单击设置

如果卡禁用或您看不到该卡,请联系您的帐户团队或合作伙伴组织。向他们提供您的帐号,并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上方组织名称旁边的齿轮。

您还可以随时从设置 页面的帮助 部分下载OVA。在混合数据安全卡上,单击编辑设置 打开页面。然后单击帮助 部分中的下载混合数据安全软件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

3

选择 以表示您尚未设置节点,然后单击下一步

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击打开部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Control Hub的客户管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Control Hub客户管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在username@DOMAIN 用户名 字段中设置格式的Windows帐户。

  3. ::格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以格式输入完全符合条件的域名 dbhost.example.org:1433

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_maxSize: 10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭“设置”工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1,选择从数据存储ISO文件中安装的选项,然后浏览到上传配置ISO文件的位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在Web浏览器中输入HDS节点设置URLhttps://[HDS Node IP or FQDN]/setup ,输入为节点设置的管理员凭据,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的首个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“注册混合数据安全节点”页面。
4

选择,表示您已设置好节点并准备进行注册,然后单击下一步

5

在第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

8

单击警告消息中的继续。

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。
9

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
10

单击链接或关闭标签页,返回Control Hub混合数据安全页面。

混合数据安全页面上,将显示包含已注册节点的新集群。此节点将自动从云端下载最新的软件。

创建和注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

目前,您在完成混合数据安全先决条件 中创建的备用虚拟机是备用主机,仅在灾难恢复时使用;在此之前,它们不会在系统中注册。有关详细信息,请参阅使用待机数据中心进行灾难恢复

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“混合服务”部分中,找到混合数据安全卡,然后单击资源

    将显示混合数据安全资源页面。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

    会显示一条消息,表明您可以将节点注册到Webex云。

  6. 单击转至节点

    几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回Control Hub混合数据安全页面。

您的节点已注册。请注意,在您开始试用之前,您的节点会生成警报,表示您的服务尚未激活。

下一步

运行试用并转至生产 (下一章)

运行试用模式并转入生产模式

试用到生产任务流程

设置Hybrid Data Security集群后,您可以启动试点,向其添加用户,然后开始使用它来测试和验证您的部署,以便为迁移到生产做好准备。

开始之前

设置混合数据安全集群
1

如果适用,请同步HdsTrialGroup 组对象。

如果您的组织为用户使用目录同步,则必须选择HdsTrialGroup 组对象以同步到云,然后才能开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

2

激活试用

开始试用。在您执行此任务之前,您的节点会生成警报,表示服务尚未激活。

3

测试混合数据安全部署

检查关键请求是否传递到混合数据安全部署。

4

监控混合数据安全的运行状况

检查状态,并为警报设置电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试验阶段:

激活试用

开始之前

如果您的组织为用户使用目录同步,则必须选择HdsTrialGroup 组对象以同步到云,然后才能为您的组织开始试用。有关说明,请参阅 Cisco Directory连接器的部署指南。

1

登录 https://admin.webex.com,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击开始试用

服务状态将更改为试用模式。
4

单击添加用户 并输入一个或多个用户的电子邮件地址,以使用混合数据安全节点进行加密和索引服务。

(如果您的组织使用目录同步,请使用Active Directory管理试验组,HdsTrialGroup。)

测试混合数据安全部署

使用此程序测试混合数据安全加密场景。

开始之前

  • 设置混合数据安全部署。

  • 开始试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证关键请求是否传递到混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以试点用户身份登录Webex应用程序,然后创建空间,并邀请至少一名试点用户和一个非试点用户。

如果您停用Hybrid Data Security部署,一旦替换了客户端缓存的加密密钥副本,试点用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查是否有用户先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查是否在KMS中请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION上过滤:

    您应找到一个条目,如下所示: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Control Hub中的状态指示器会显示混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

控制中心中,从屏幕左侧的菜单中选择服务

2

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,可在试用处于活动状态时随时添加或删除试用成员。

如果从试用中删除用户,用户的客户端将需要密钥以及来自云 KMS(而非 KMS)的密钥创建。如果客户端需要存储在 KMS 中的密钥,云 KMS 会代表用户去获取该密钥。

如果您的组织使用目录同步,请使用Active Directory(而不是此程序)管理试用组 HdsTrialGroup;您可以在Control Hub中查看组成员,但无法添加或删除它们。

1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户;或者,单击查看并编辑,以便从试用中删除用户。

4

输入要添加的一个或多个用户的电子邮件地址;或者,按用户标识逐个单击 X,这样也可以从试用中删除用户。然后单击“保存”。

从试用模式转入生产模式

如果对试用用户而言部署运转良好,而且您也感到满意,即可转入生产模式。当您转至生产时,组织中的所有用户都将使用您的内部混合数据安全域进行加密密钥和其他安全领域服务。除非在执行灾难恢复的过程中停用服务,否则将无法从生产模式返回到试用模式。要重新激活服务,您需要设置新的试用。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“服务状态”部分中,单击转入生产模式

4

确认是否要将所有用户转入生产模式。

在不转入生产模式的情况下结束试用

如果您在试用期间决定不继续混合数据安全部署,则可以停用混合数据安全,这将结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用过程中加密的数据。
1

登录到Control Hub,然后选择服务

2

在“混合数据安全”下,单击设置

3

在“停用”部分中,单击停用

4

确认是否要停用服务并结束试用。

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录到 Control Hub。

2

在“概述”页面上,选择“混合服务”下的混合数据安全

3

在“混合数据安全资源”页面上,选择集群。

4

在右侧的“概述”面板中,选择“集群设置”下的集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如有需要,您可以通过单击推迟将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果您没有Docker Desktop许可证,则可以使用Podman Desktop为以下程序中的步骤1.a至1.e运行HDS设置工具。有关详细信息,请参阅使用Podman桌面运行HDS设置工具

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Control Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭“设置”工具,请输入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1,选择从ISO文件中安装的选项,然后浏览到下载新配置ISO文件的位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到Control Hub,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击打开节点列表

  5. 在节点选项卡上,选择要删除的节点。

  6. 单击操作 > 取消注册节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

配置Syslogd服务器后,单击高级设置

3

高级设置 页面上,添加下面的配置或删除passiveMode 配置,使节点处于活动状态。配置完成后,节点可以处理流量。


passiveMode: 'false'

4

完成配置过程并将该ISO文件保存在易于查找的位置。

5

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

6

在VMware vSphere客户端左侧导航窗格中,右键单击VM并单击编辑设置

7

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

8

打开HDS节点,并确保至少15分钟没有警报。

9

为待机数据中心中的每个节点重复该过程。

检查系统日志输出以验证待机数据中心的节点是否处于被动模式。“以被动模式配置的KMS”不应出现在系统中。

下一步

故障转移后,如果主数据中心再次处于活动状态,请按照设置灾难恢复待机数据中心中描述的步骤将待机数据中心重新置于被动模式。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Control Hub会向组织管理员显示警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

激活试用模式,或者完成从试用到生产的迁移。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

查看Control Hub以了解任何警报并修复您在此处找到的任何项目。

2

查看混合数据安全部署中的活动的syslog服务器输出。

3

联系 Cisco 支持人员

前言

新信息和变更信息

日期

已作更改

2025年5月8日

2025年3月3日

2025年1月30日

2025年1月7日

2023年10月20日

2023年8月7日

2023年5月23日

2022年12月6日

2022年11月23日

2021 年 10 月 13 日

在安装 HDS 节点之前,Docker Desktop 需要运行安装程序。请参阅 Docker 桌面要求

2021 年 6 月 24 日

请注意,您可以重复使用私钥文件和 CSR 来请求另一个证书。有关详细信息,请参阅 使用 OpenSSL 生成 PKCS12 文件

2021年4月30日

将虚拟机对本地硬盘空间的要求更改为 30 GB。有关详细信息,请参阅 虚拟主机要求

2021 年 2 月 24 日

HDS 设置工具现在可以在代理后运行。有关详细信息,请参阅 为 HDS 主机创建配置 ISO

2021 年 2 月 2 日

HDS 现在无需安装 ISO 文件即可运行。有关详细信息,请参阅 (可选)在 HDS 配置后卸载 ISO

2021年1月11日

为 HDS 主机创建配置 ISO添加了有关 HDS 设置工具和代理的信息。

2020 年 10 月 13 日

已更新 下载安装文件

2020 年 10 月 8 日

更新了 为 HDS 主机创建配置 ISO更改节点配置 ,并使用适用于 FedRAMP 环境的命令。

2020 年 8 月 14 日

更新了 为 HDS 主机创建配置 ISO更改节点配置 ,并对登录过程进行了更改。

2020年8月5日

已更新 测试您的混合数据安全部署 以查看日志消息的变化。

已更新 虚拟主机要求 以删除最大主机数量。

2020年6月16日

更新了 删除节点 以适应控制中心 UI 中的更改。

2020年6月4日

更新了 为 HDS 主机创建配置 ISO 以更改您可能设置的高级设置。

2020年5月29日

更新 为 HDS 主机创建配置 ISO 以显示您还可以将 TLS 与 SQL Server 数据库、UI 更改和其他说明一起使用。

2020年5月5日

更新了 虚拟主机要求 以显示 ESXi 6.5 的新要求。

2020 年 4 月 21 日

使用新的美洲 CI 主机更新了 外部连接要求

2020 年 4 月 1 日

更新了 外部连接要求 ,其中包含有关区域 CI 主机的信息。

2020 年 2 月 20 日更新了 为 HDS 主机创建配置 ISO ,其中包含有关 HDS 设置工具中新的可选高级设置屏幕的信息。
2020年2月4日已更新 代理服务器要求
2019年12月16日代理服务器要求中阐明了阻止外部 DNS 解析模式的工作要求。
2019 年 11 月 19 日

在以下章节中添加了有关阻止的外部 DNS 解析模式的信息:

2019 年 11 月 8 日

您现在可以在部署 OVA 时(而不是之后)配置节点的网络设置。

相应更新了以下章节:

OVA 部署期间配置网络设置的选项已使用 ESXi 6.5 进行了测试。该选项在早期版本中可能不可用。

2019 年 9 月 6 日

数据库服务器要求中添加了 SQL Server Standard。

2019 年 8 月 29 日添加了 为混合数据安全配置 Squid 代理 附录,其中包含有关配置 Squid 代理以忽略 websocket 流量以确保正常运行的指导。
2019 年 8 月 20 日

添加并更新了部分内容,以涵盖混合数据安全节点与 Webex 云通信的代理支持。

要访问现有部署的代理支持内容,请参阅 混合数据安全和 Webex 视频网格的代理支持 帮助文章。

2019年6月13日更新了 试用到生产任务流 ,如果您的组织使用目录同步,则提醒您在开始试用之前同步 HdsTrialGroup 组对象。
2019年3月6日
2019 年 2 月 28 日

  • 更正了在准备成为混合数据安全节点的虚拟主机时应留出的每个服务器的本地硬盘空间量,从 50 GB 到 20 GB,以反映 OVA 创建的磁盘大小。

2019 年 2 月 26 日

  • 混合数据安全节点现在支持与 PostgreSQL 数据库服务器的加密连接,以及与支持 TLS 的系统日志服务器的加密日志连接。更新了 为 HDS 主机创建配置 ISO 并附带说明。

  • 从“混合数据安全节点虚拟机的互联网连接要求”表中删除了目标 URL。该表现在引用 Webex Teams 服务的网络要求的“Webex Teams 混合服务的其他 URL”表中维护的列表。

2019 年 1 月 24 日

  • 混合数据安全现在支持 Microsoft SQL Server 作为数据库。混合数据安全中使用的 JDBC 驱动程序支持 SQL Server Always On(Always On 故障转移群集和 Always on 可用性组)。添加了与使用 SQL Server 部署相关的内容。

    Microsoft SQL Server 支持仅适用于混合数据安全的新部署。目前,我们不支持在现有部署中将数据从 PostgreSQL 迁移到 Microsoft SQL Server。

2018年11月5日
2018 年 10 月 19 日

2018 年 7 月 31 日
2018 年 5 月 21 日

更改术语以反映 Cisco Spark 的品牌重塑:

  • Cisco Spark 混合数据安全现已更名为混合数据安全。

  • Cisco Spark 应用程序现在是 Webex App 应用程序。

  • Cisco Collaboraton Cloud 现在是 Webex 云。

2018年4月11日
2018 年 2 月 22 日
2018 年 2 月 15 日

  • X.509 证书要求表中,规定证书不能为通配符证书,并且 KMS 应使用 CN 域,而非 x.509v3 SAN 字段中定义的任何域。

2018 年 1 月 18 日

2017 年 11 月 2 日

  • 澄清了 HdsTrialGroup 的目录同步。

  • 修改了上载 ISO 配置文件(用于安装至 VM 节点)的说明。

2017 年 8 月 18 日

首次发布时间

开始使用混合数据安全

混合数据安全概述

从第一天起,数据安全就是设计 Webex App 的主要关注点。这种安全性的基石是端到端内容加密,由与密钥管理服务 (KMS) 交互的 Webex App 客户端实现。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有 Webex App 客户都可以在 Cisco 的安全领域中使用存储在云 KMS 中的动态密钥获得端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

安全域架构

Webex 云架构将不同类型的服务划分到不同的领域或信任域中,如下所示。

分离领域(无混合数据安全)

为了进一步了解混合数据安全,我们首先看一下纯云案例,其中思科在其云领域中提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是在用户笔记本电脑上运行的 Webex 应用程序,并已通过身份服务进行身份验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,您会将安全领域功能(KMS、索引和合规性)移动到您的本地数据中心。构成 Webex 的其他云服务(包括身份和内容存储)仍属于思科的领域。

与其他组织的协作

您组织中的用户可能会定期使用 Webex 应用程序与其他组织中的外部参与者进行协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当另一个组织拥有该空间的密钥时,您的 KMS 会通过单独的 ECDH 通道将请求路由到 Webex 云,以从适当的 KMS 获取密钥,然后在原始通道上将密钥返回给您的用户。

组织 A 上运行的 KMS 服务使用 x.509 PKI 证书验证与其他组织中的 KMS 的连接。有关生成用于混合数据安全部署的 x.509 证书的详细信息,请参阅 混合数据安全要求 (本文中)。

部署混合数据安全的期望

混合数据安全部署需要客户的大量投入以及对拥有加密密钥所带来的风险的认识。

要部署混合数据安全,您必须提供:

您为混合数据安全构建的配置 ISO 或您提供的数据库的完全丢失将导致密钥丢失。密钥丢失会阻止用户解密 Webex App 中的空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 一旦发生灾难(例如数据库磁盘故障或数据中心灾难),准备好执行快速灾难恢复。

HDS 部署后,没有机制将密钥移回云端。

高级安装过程

本文档涵盖混合数据安全部署的设置和管理:

  • 设置混合数据安全— 这包括准备所需的基础设施和安装混合数据安全软件,以试用模式使用一部分用户测试您的部署,以及在测试完成后转移到生产环境。这会将整个组织转换为使用混合数据安全集群来实现安全功能。

    接下来的三章将详细介绍设置、试用和生产阶段。

  • 维护您的混合数据安全部署—Webex 云自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在 Control Hub 中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题— 如果您在部署或使用混合数据安全时遇到麻烦,本指南的最后一章和已知问题附录可能会帮助您确定和解决问题。

混合数据安全部署模式

在企业数据中心内,您可以将混合数据安全部署为位于单独虚拟主机上的单个节点集群。节点通过安全的 websockets 和安全 HTTP 与 Webex 云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的 Syslogd 服务器和 PostgreSQL 或 Microsoft SQL Server 数据库。(您可以在 HDS 设置工具中配置 Syslogd 和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少有三个。拥有多个节点可确保在节点上进行软件升级或其他维护活动期间服务不会中断。(Webex 云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

当您在 Control Hub 中注册节点时,它们就会变为活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

每个组织仅支持一个集群。

混合数据安全试用模式

设置混合数据安全部署后,您首先与一组试点用户一起尝试它。在试用期间,这些用户使用您的本地混合数据安全域获取加密密钥和其他安全领域服务。其他用户则继续使用云安全域。

如果您在试用期间决定不再继续使用该部署并停用该服务,则试用用户以及在试用期间通过新建空间与之交互的所有用户都将失去消息和内容访问权。他们将在 Webex 应用程序中看到“此消息无法解密”。

如果您对部署对于试用用户的效果感到满意,并且您准备将混合数据安全扩展到所有用户,则可以将部署移至生产环境。试用用户仍有权获取试用期间所用的密钥。但是,您无法在生产模式和原来的试用模式之间来回切换。如果必须停用服务(例如要执行灾难恢复),则在重新激活时必须启动新的试用模式并设置一组试用用户进行新的试用,然后才能移回生产模式。此时用户是否保留数据访问权限取决于您是否已成功维护集群中混合数据安全节点的关键数据存储和 ISO 配置文件的备份。

灾难恢复备用数据中心

在部署期间,您设置一个安全的备用数据中心。如果发生数据中心灾难,您可以手动将部署故障转移到备用数据中心。

在故障转移之前,数据中心 A 具有活动的 HDS 节点和主 PostgreSQL 或 Microsoft SQL Server 数据库,而数据中心 B 具有包含附加配置的 ISO 文件的副本、注册到组织的虚拟机以及备用数据库。故障转移后,数据中心 B 具有活动的 HDS 节点和主数据库,而 A 具有未注册的虚拟机和 ISO 文件的副本,并且数据库处于待机模式。
手动故障转移到备用数据中心

活动数据中心和备用数据中心的数据库相互同步,这将最大限度地减少执行故障转移所需的时间。备用数据中心的 ISO 文件已更新附加配置,以确保节点已注册到组织,但不会处理流量。因此,备用数据中心的节点始终保持最新版本的 HDS 软件。

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

设置灾难恢复备用数据中心

按照如下步骤配置备机房ISO文件:

准备工作

  • 备用数据中心应镜像虚拟机的生产环境和备份 PostgreSQL 或 Microsoft SQL Server 数据库。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。(有关此故障转移模型的概述,请参阅 灾难恢复备用数据中心 。)

  • 确保主动和被动集群节点的数据库之间启用了数据库同步。

1

启动 HDS 安装工具并按照 为 HDS 主机创建配置 ISO中提到的步骤进行操作。

ISO 文件必须是主数据中心的原始 ISO 文件的副本,以下配置更新将在该主数据中心上进行。

2

配置完Syslogd服务器后,点击 高级设置

3

高级设置 页面上,添加以下配置以将节点置于被动模式。在这种模式下,节点将注册到组织并连接到云,但不会处理任何流量。


passiveMode: 'true'

4

完成配置过程并将 ISO 文件保存在易于查找的位置。

5

在本地系统上制作 ISO 文件的备份副本。确保备份副本的安全。此文件包含针对数据库内容的主加密密钥。仅限制那些应该进行配置更改的混合数据安全管理员的访问权限。

6

在 VMware vSphere 客户端的左侧导航窗格中,右键单击虚拟机,然后单击 编辑设置。

7

点击 编辑设置 >CD/DVD 驱动器 1 并选择数据存储 ISO 文件。

确保选中 已连接开机时连接 ,以便更新的配置更改可以在启动节点后生效。

8

打开 HDS 节点电源,确保至少 15 分钟内没有警报。

9

对备用数据中心中的每个节点重复该过程。

检查系统日志以验证节点是否处于被动模式。您应该能够在系统日志中看到消息“KMS 以被动模式配置”。

下一步

在 ISO 文件中配置 passiveMode 并保存后,您可以创建另一个不包含 passiveMode 配置的 ISO 文件副本,并将其保存在安全的位置。此未配置 passiveMode 的 ISO 文件副本可帮助在灾难恢复期间快速进行故障转移过程。有关详细的故障转移过程,请参阅 使用备用数据中心进行灾难恢复

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理— 如果您不使用 HDS 节点设置信任库,则默认为 & 代理配置以集成代理。无需证书更新。

  • 透明非检查代理— 节点未配置为使用特定的代理服务器地址,并且不需要任何更改即可与非检查代理一起工作。无需证书更新。

  • 透明隧道或检查代理— 节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理— 使用显式代理,您可以告诉 HDS 节点使用哪个代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理人 IP/FQDN— 可用于访问代理机器的地址。

    2. 代理端口— 代理用于侦听代理流量的端口号。

    3. 代理协议— 根据您的代理服务器支持的内容,在以下协议之间进行选择:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型— 从以下身份验证类型中选择:

      • — 无需进一步身份验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于 HTTP 用户代理在发出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • Digest—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备您的环境

混合数据安全的要求

Docker 桌面要求

在安装 HDS 节点之前,您需要 Docker Desktop 来运行安装程序。Docker 最近更新了他们的许可模式。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

没有 Docker Desktop 许可证的客户可以使用 Podman Desktop 等开源容器管理工具来运行、管理和创建容器。有关详细信息,请参阅 使用 Podman Desktop 运行 HDS 安装工具

X.509 证书要求

证书链必须满足以下要求:

表 1. 混合数据安全部署的 X.509 证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs中的 Mozilla 列表中的 CA(WoSign 和 StartCom 除外)。

  • 具有用于标识您的混合数据安全部署的通用名称 (CN) 域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。我们建议您使用能够反映您的组织的名称,例如 hds.company.com

CN 不得包含 * (通配符)。

CN 用于向 Webex App 客户端验证混合数据安全节点。集群中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。请选择一个既可用于试用又可用于生产部署的域。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的友好名称来标记证书、私钥和任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主机要求

您将在集群中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少两个独立的主机(建议 3 个)位于同一安全数据中心

  • VMware ESXi 7.0 或 8.0 已安装并正在运行。

    如果您拥有早期版本的 ESXi,则必须升级。

  • 每台服务器至少有 4 个 vCPU、8 GB 主内存、30 GB 本地硬盘空间

数据库服务器要求

创建一个用于密钥存储的新数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每个要求如下:

表 2. 数据库服务器要求(按数据库类型)

PostgreSQL

微软 SQL 服务器

  • 已安装并正在运行 PostgreSQL 14、15 或 16。

  • 已安装 SQL Server 2016、2017、2019 或 2022(企业版或标准版)。

    SQL Server 2016 需要 Service Pack 2 和累积更新 2 或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS 软件当前安装以下驱动程序版本以便与数据库服务器通信:

PostgreSQL

微软 SQL 服务器

Postgres JDBC 驱动程序 42.2.5

SQL Server JDBC 驱动程序 4.6

此驱动程序版本支持 SQL Server Always On( Always On 故障转移群集实例Always On 可用性组)。

针对 Microsoft SQL Server 的 Windows 身份验证的附加要求

如果您希望 HDS 节点使用 Windows 身份验证来访问 Microsoft SQL Server 上的密钥库数据库,则需要在您的环境中进行以下配置:

  • HDS 节点、Active Directory 基础架构和 MS SQL Server 都必须与 NTP 同步。

  • 您向 HDS 节点提供的 Windows 帐户必须具有 read/write 访问数据库。

  • 您向 HDS 节点提供的 DNS 服务器必须能够解析您的密钥分发中心 (KDC)。

  • 您可以将 Microsoft SQL Server 上的 HDS 数据库实例注册为 Active Directory 上的服务主体名称 (SPN)。请参阅 为 Kerberos 连接注册服务主体名称

    HDS 安装工具、HDS 启动器和本地 KMS 都需要使用 Windows 身份验证来访问密钥库数据库。当使用 Kerberos 身份验证请求访问时,他们会使用 ISO 配置中的详细信息来构建 SPN。

外部连接要求

配置防火墙以允许 HDS 应用程序进行以下连接:

应用程序

协议

端口

应用程序的指示

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex 服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有 Common Identity 主机

  • Webex 混合服务的其他 URL 表中列出的用于混合数据安全的其他 URL( Webex 服务的网络要求

HDS设置工具

TCP

443

出站 HTTPS

  • *.wbx2.com

  • 所有 Common Identity 主机

  • hub.docker.com

混合数据安全节点可与网络访问转换 (NAT) 配合使用或在防火墙后面工作,只要 NAT 或防火墙允许与上表中的域目标建立所需的出站连接即可。对于进入混合数据安全节点的连接,互联网上不应显示任何端口。在您的数据中心内,客户端需要访问 TCP 端口 443 和 22 上的混合数据安全节点,以进行管理。

通用身份 (CI) 主机的 URL 是特定于区域的。这些是当前的 CI 主机:

地区

通用身份主机 URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查 HTTPS 流量的 Squid 代理可能会干扰 websocket 的建立 (wss:) 连接。要解决此问题,请参阅 为混合数据安全配置 Squid 代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果出现此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量将解决问题。

满足混合数据安全的先决条件

使用此清单确保您已准备好安装和配置混合数据安全集群。
1

确保您的 Webex 组织已启用 Cisco Webex Control Hub 的 Pro Pack,并获取具有完整组织管理员权限的帐户的凭证。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

2

为您的 HDS 部署选择一个域名(例如, hds.company.com)并获取包含 X.509 证书、私钥和任何中间证书的证书链。证书链必须满足 X.509 证书要求中的要求。

3

准备相同的虚拟主机,将其设置为集群中的混合数据安全节点。您至少需要两个独立的主机(建议 3 个)位于同一个安全的数据中心,并且满足 虚拟主机要求中的要求。

4

根据 数据库服务器要求,准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须与虚拟主机位于同一安全数据中心。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库 - 不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

为了快速实现灾难恢复,请在不同的数据中心设置备份环境。备份环境镜像了虚拟机和备份数据库服务器的生产环境。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。至少,为了防止无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置 ISO 文件。

由于混合数据安全节点存储了用于加密和解密内容的密钥,因此无法维持操作部署将导致该内容的 无法恢复的丢失

Webex App 客户端会缓存其密钥,因此中断可能不会立即被注意到,但会随着时间的推移而变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的运营商需要经常备份数据库和配置 ISO 文件,并准备在发生灾难性故障时重建混合数据安全数据中心。

8

确保您的防火墙配置允许您的混合数据安全节点进行连接,如 外部连接要求中所述。

9

在任何运行受支持操作系统(Microsoft Windows 10 Professional 或 Enterprise 64 位,或 Mac OSX Yosemite 10.10.3 或更高版本)的本地计算机上安装 Docker( https://www.docker.com),并使用可以通过 http://127.0.0.1:8080.访问的 Web 浏览器

您使用 Docker 实例下载并运行 HDS 安装工具,该工具为所有混合数据安全节点构建本地配置信息。您的组织可能需要 Docker Desktop 许可证。有关更多信息,请参阅 Docker Desktop 要求

要安装和运行 HDS 设置工具,本地机器必须具有 外部连接要求中概述的连接。

10

如果您将代理与混合数据安全集成,请确保它满足 代理服务器要求

11

如果您的组织使用目录同步,请在 Active Directory 中创建一个名为 HdsTrialGroup的组,并添加试点用户。试用组中最多可拥有 250 位用户。您必须先将 HdsTrialGroup 对象同步到云端,然后才能为您的组织开始试用。要同步组对象,请在目录连接器的 配置 中选择它 > 对象选择 菜单。(有关详细说明,请参阅 Cisco Directory Connector 部署指南。

给定空间的密钥由空间创建者设置。在选择试点用户时,请记住,如果您决定永久停用混合数据安全部署,所有用户都将无法访问试点用户创建的空间中的内容。当用户的应用程序刷新内容的缓存副本后,丢失问题就会显而易见。

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

下载安装文件

将 OVA 文件下载到本地机器以供日后使用。

2

为 HDS 主机创建配置 ISO

使用 HDS 设置工具为混合数据安全节点创建 ISO 配置文件。

3

安装 HDS 主机 OVA

从 OVA 文件创建虚拟机并执行初始配置,例如网络设置。

OVA 部署期间配置网络设置的选项已使用 ESXi 7.0 和 8.0 进行了测试。该选项在早期版本中可能不可用。

4

设置混合数据安全 VM

登录 VM 控制台并设置登录凭据。如果在部署 OVA 时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

使用 HDS 安装工具创建的 ISO 配置文件来配置 VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定将用于节点的代理类型,并在需要时将代理证书添加到信任库。

7

注册集群中的首个节点

将 VM 作为混合数据安全节点注册到 Cisco Webex 云。

8

创建和注册更多节点

完成集群设置。

9

在您开始试用之前,您的节点会生成警报,表明您的服务尚未激活。

下载安装文件

在此任务中,您将 OVA 文件下载到您的机器(而不是您设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。
1

登录 https://admin.webex.com,然后单击服务

2

在混合服务部分,找到混合数据安全卡,然后单击 设置

如果该卡已被禁用或者您没有看到它,请联系您的客户团队或合作伙伴组织。向他们提供您的帐号并要求为您的组织启用混合数据安全。要查找帐户号码,请单击右上方组织名称旁边的齿轮。

您也可以随时从 设置 页面的[]帮助 部分下载 OVA。在混合数据安全卡片上,点击 编辑设置 打开页面。然后,单击 帮助 部分中的 ]下载混合数据安全软件

旧版本的软件包(OVA)与最新的混合数据安全升级不兼容。这可能会导致升级应用程序时出现问题。确保下载最新版本的 OVA 文件。

3

选择 表示您尚未设置节点,然后单击 下一步

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击 打开部署指南 以检查是否有可用的该指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程会创建一个 ISO 文件。然后使用 ISO 配置混合数据安全主机。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在具有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

安装工具不支持通过 连接到本地主机 http://localhost:8080。使用 http://127.0.0.1:8080 连接到本地主机。

使用 Web 浏览器转到本地主机 http://127.0.0.1:8080,然后在提示符下输入 Control Hub 的客户管理员用户名。

该工具使用用户名的第一个条目来为该帐户设置适当的环境。然后该工具会显示标准登录提示。

7

出现提示时,输入您的 Control Hub 客户管理员登录凭据,然后单击 登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO 导入 页面上,您有以下选项:

  • — 如果您正在创建第一个 HDS 节点,则没有 ISO 文件可供上传。
  • —如果您已经创建了 HDS 节点,则您可以在浏览中选择您的 ISO 文件并上传它。
10

检查您的 X.509 证书是否满足 X.509 证书要求中的要求。

  • 如果您之前从未上传过证书,请上传 X.509 证书,输入密码,然后单击 继续
  • 如果您的证书没有问题,请点击 继续
  • 如果您的证书已过期或者您想要替换它,请为 继续使用来自以前 ISO 的 HDS 证书链和私钥?[]选择 。上传新的X.509证书,输入密码,点击 继续
11

输入 HDS 访问您的密钥数据存储的数据库地址和帐户:

  1. 选择您的 数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得一个身份验证类型字段。

  2. (仅限Microsoft SQL Server )选择您的 身份验证类型:

    • 基本身份验证: 您需要在 用户名 字段中输入本地 SQL Server 帐户名。

    • Windows 身份验证: 您需要在 用户名 字段中输入一个格式为 [ username@DOMAIN 的 Windows 帐户。

  3. ::的形式输入数据库服务器地址。

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用 DNS 解析主机名,则可以使用 IP 地址进行基本身份验证。

    如果您使用 Windows 身份验证,则必须输入以下格式的完全限定域名 dbhost.example.org:1433

  4. 输入 数据库名称

  5. 输入对密钥存储数据库具有所有权限的用户的 用户名密码

12

选择 TLS 数据库连接模式:

模式

描述

首选 TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用 TLS,节点将尝试建立加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于 SQL Server 数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立 TLS 连接后,节点将数据库服务器的证书签名者与 数据库根证书中的证书颁发机构进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立 TLS 连接后,节点将数据库服务器的证书签名者与 数据库根证书中的证书颁发机构进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与 数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击 继续时,HDS 设置工具会测试与数据库服务器的 TLS 连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接差异,即使 HDS 设置工具机器无法成功测试,HDS 节点也可能能够建立 TLS 连接。)

13

在系统日志页面上,配置您的 Syslogd 服务器:

  1. 输入系统日志服务器 URL。

    如果服务器无法从 HDS 群集的节点进行 DNS 解析,请在 URL 中使用 IP 地址。

    例如:
    udp://10.92.43.23:514 表示将日志记录到 Syslogd 主机 10.92.43.23 的 UDP 端口 514 上。

  2. 如果您将服务器设置为使用 TLS 加密,请检查 您的 syslog 服务器是否配置了 SSL 加密?

    如果选中此复选框,请确保输入 TCP URL,例如 tcp://10.92.43.23:514

  3. 选择 syslog 记录终止 下拉菜单中,为您的 ISO 文件选择适当的设置:对于 Graylog 和 Rsyslog TCP,使用选择或换行符

    • 空字节—— \x00

    • 换行符 -- \n— 为 Graylog 和 Rsyslog TCP 选择此选项。

  4. 单击继续

14

(可选)您可以在 高级设置中更改某些数据库连接参数的默认值。通常,此参数是您可能想要更改的唯一参数:

app_datasource_connection_pool_maxSize: 10
15

“重置服务帐户密码 ”屏幕上,单击 “继续 ” 。

服务帐户密码的有效期为九个月。当您的密码即将到期或您想要重置密码以使之前的 ISO 文件无效时,请使用此屏幕。

16

单击下载 ISO 文件。将文件保存在易于查找的位置。

17

在本地系统上制作 ISO 文件的备份副本。

确保备份副本的安全。此文件包含针对数据库内容的主加密密钥。仅限制那些应该进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请键入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多节点以进行恢复,或者进行配置更改。如果您丢失了 ISO 文件的所有副本,那么您也会丢失主密钥。无法从 PostgreSQL 或 Microsoft SQL Server 数据库恢复密钥。

我们从来没有这把钥匙的副本,如果您丢失了它,我们也无法提供帮助。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的 OVA 文件的位置,然后单击 下一步

4

选择名称和文件夹 页面上,输入节点的 虚拟机名称 (例如,“HDS_Node_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击 下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击 下一步

7

如果在 配置 页面上要求您选择资源配置,请单击 4 CPU ,然后单击 下一步

8

选择存储 页面上,单击 下一步 接受默认磁盘格式和虚拟机存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,为虚拟机提供所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名— 输入节点的 FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 为确保成功注册到云,请在为节点设置的 FQDN 或主机名中仅使用小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP 地址— 输入节点内部接口的 IP 地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持 DHCP。

  • 掩码— 以点分十进制表示法输入子网掩码地址。例如, 255.255.255.0
  • 网关— 输入网关 IP 地址。网关是作为另一个网络的接入点的网络节点。
  • DNS 服务器— 输入以逗号分隔的 DNS 服务器列表,用于将域名转换为数字 IP 地址。(最多允许 4 个 DNS 条目。)
  • NTP 服务器— 输入您组织的 NTP 服务器或可在您的组织中使用的其他外部 NTP 服务器。默认 NTP 服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个 NTP 服务器。

  • 将所有节点部署在同一个子网或 VLAN 上,以便集群中的所有节点都可以从网络中的客户端访问,以进行管理。

如果愿意,您可以跳过网络设置配置,并按照 设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

OVA 部署期间配置网络设置的选项已使用 ESXi 7.0 和 8.0 进行了测试。该选项在早期版本中可能不可用。

11

右键单击节点VM,然后选择 电源 > 开启

混合数据安全软件作为来宾安装在 VM 主机上。您现在可以登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此过程首次登录混合数据安全节点 VM 控制台并设置登录凭据。如果您在部署 OVA 时没有配置节点的网络设置,您也可以使用控制台来配置这些设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已经在 安装 HDS 主机 OVA中配置了网络设置,请跳过此过程的其余部分。否则,在主菜单中,选择 编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持 DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

准备工作

由于 ISO 文件保存主密钥,因此它应该只在“需要知道”的基础上公开,以供混合数据安全虚拟机和可能需要进行更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1,选择从数据存储 ISO 文件挂载的选项,然后浏览到上传配置 ISO 文件的位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的 IT 策略需要,您可以在所有节点获取配置更改后选择卸载 ISO 文件。有关详细信息,请参阅 (可选)在 HDS 配置后卸载 ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS Node IP or FQDN]/setup ,输入您为该节点设置的管理员凭据,然后单击 登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理— 集成代理之前的默认选项。无需证书更新。
  • 透明非检查代理— 节点未配置为使用特定的代理服务器地址,并且不需要任何更改即可与非检查代理一起工作。无需证书更新。
  • 透明检查代理— 节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理— 使用显式代理,您可以告诉客户端(HDS 节点)使用哪个代理服务器,并且此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理人 IP/FQDN— 可用于访问代理机器的地址。

    2. 代理端口— 代理用于侦听代理流量的端口号。

    3. 代理协议— 选择 http (查看并控制从客户端接收的所有请求)或 https (提供到服务器的通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型— 从以下身份验证类型中选择:

      • — 无需进一步身份验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本— 用于 HTTP 用户代理在发出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • Digest—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成以下步骤,然后参阅 关闭被阻止的外部 DNS 解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的首个节点

此任务采用您在 设置混合数据安全 VM中创建的通用节点,将该节点注册到 Webex 云,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保浏览器中的所有弹出窗口阻止程序都已禁用,或者允许 admin.webex.com 例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在混合服务部分,找到混合数据安全并点击 设置

此时会显示“注册混合数据安全节点”页面。
4

选择,表示您已设置好节点并准备进行注册,然后单击下一步

5

在第一个字段中,输入要分配混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。例如:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

此 IP 地址或 FQDN 应与您在 设置混合数据安全 VM中使用的 IP 地址或主机名和域相匹配。

出现一条消息,表明您可以将您的节点注册到 Webex。
7

单击转至节点

8

单击警告消息中的继续。

片刻之后,您将被重定向到 Webex 服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此处,您确认您想要授予您的 Webex 组织访问您的节点的权限。
9

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现已注册到 Webex 云。
10

单击链接或关闭选项卡即可返回控制中心混合数据安全页面。

混合数据安全页面上,将显示包含已注册节点的新集群。此节点将自动从云端下载最新的软件。

创建和注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

此时,您在 完成混合数据安全的先决条件 中创建的备份虚拟机是备用主机,仅在发生灾难恢复时使用;在此之前,它们不会在系统中注册。有关详细信息,请参阅 使用备用数据中心进行灾难恢复

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保浏览器中的所有弹出窗口阻止程序都已禁用,或者允许 admin.webex.com 例外。

1

从 OVA 创建一个新的虚拟机,重复 安装 HDS 主机 OVA中的步骤。

2

在新虚拟机上设置初始配置,重复 设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复 上传和挂载 HDS 配置 ISO中的步骤。

4

如果您正在为部署设置代理,请根据新节点的需要重复 为代理集成配置 HDS 节点 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在混合服务部分中,找到混合数据安全卡并点击 资源

    出现混合数据安全资源页面。

  3. 单击添加资源

  4. 在第一个字段中,选择现有集群的名称。

  5. 在第二个字段中,输入节点的内部 IP 地址或标准域名 (FQDN),然后单击下一步

    出现一条消息,表明您可以将节点注册到 Webex 云。

  6. 单击转至节点

    片刻之后,您将被重定向到 Webex 服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此处,您确认您想要授予您的组织访问您的节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现已注册到 Webex 云。

  8. 单击链接或关闭选项卡即可返回控制中心混合数据安全页面。

您的节点已注册。请注意,在您开始试用之前,您的节点会生成警报,表明您的服务尚未激活。

下一步

运行试用版并投入生产 (下一章)

运行试用模式并转入生产模式

试用到生产任务流程

设置混合数据安全集群后,您可以启动试点,向其中添加用户,并开始使用它来测试和验证您的部署,为投入生产做准备。

准备工作

设置混合数据安全集群
1

如果适用,同步 HdsTrialGroup 组对象。

如果您的组织对用户使用目录同步,则必须选择 HdsTrialGroup 组对象同步到云端,然后才能开始试用。有关说明,请参阅 Cisco 目录连接器部署指南。

2

激活试用

开始试用。在您完成此任务之前,您的节点会生成一个警报,表明该服务尚未激活。

3

测试混合数据安全部署

检查密钥请求是否传递到您的混合数据安全部署。

4

监控混合数据安全的运行状况

检查状态,并设置警报的电子邮件通知。

5

从试用中添加或删除用户

6

通过以下操作之一完成试用阶段:

激活试用

准备工作

如果您的组织对用户使用目录同步,则必须先选择 HdsTrialGroup 组对象同步到云端,然后才能为您的组织开始试用。有关说明,请参阅 Cisco 目录连接器部署指南。

1

登录 https://admin.webex.com,然后选择服务

2

在混合数据安全下,单击 设置

3

在“服务状态”部分中,单击开始试用

服务状态将更改为试用模式。
4

单击 添加用户 并输入一个或多个用户的电子邮件地址,以试用混合数据安全节点进行加密和索引服务。

(如果您的组织使用目录同步,请使用 Active Directory 来管理试用组 HdsTrialGroup。)

测试混合数据安全部署

使用此过程测试混合数据安全加密场景。

准备工作

  • 设置混合数据安全部署。

  • 开始试用并添加多个试用用户。

  • 确保您有权访问系统日志,以验证密钥请求是否传递到您的混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以试点用户身份登录 Webex 应用程序,然后创建一个空间并邀请至少一名试点用户和一名非试点用户。

如果您停用混合数据安全部署,则一旦客户端缓存的加密密钥副本被替换,试点用户创建的空间中的内容将不再可访问。

2

向新空间发送消息。

3

检查系统日志输出以验证密钥请求是否传递到您的混合数据安全部署。

  1. 要检查用户是否首先建立到 KMS 的安全通道,请过滤 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查用户是否从 KMS 请求现有密钥,请过滤 kms.data.method=retrievekms.data.type=KEY:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查请求创建新 KMS 密钥的用户,请过滤 kms.data.method=createkms.data.type=KEY_COLLECTION:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的 KMS 资源对象 (KRO) 的用户,请过滤 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

    您应找到一个条目,如下所示: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Control Hub 内的状态指示器显示混合数据安全部署是否一切正常。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

Control Hub中,从屏幕左侧的菜单中选择 Services

2

在“混合服务”部分中,找到“混合数据安全”并单击设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

从试用中添加或删除用户

激活试用并添加初始试用用户集后,可在试用处于活动状态时随时添加或删除试用成员。

如果从试用中删除用户,用户的客户端将需要密钥以及来自云 KMS(而非 KMS)的密钥创建。如果客户端需要存储在 KMS 中的密钥,云 KMS 会代表用户去获取该密钥。

如果您的组织使用目录同步,请使用 Active Directory(而不是此过程)来管理试用组, HdsTrialGroup; 您可以在 Control Hub 中查看群组成员,但不能添加或删除他们。

1

登录 Control Hub,然后选择 服务

2

在混合数据安全下,单击 设置

3

在“服务状态”区域的“试用模式”部分中,单击添加用户;或者,单击查看并编辑,以便从试用中删除用户。

4

输入要添加的一个或多个用户的电子邮件地址;或者,按用户标识逐个单击 X,这样也可以从试用中删除用户。然后单击“保存”。

从试用模式转入生产模式

如果对试用用户而言部署运转良好,而且您也感到满意,即可转入生产模式。当您转向生产时,组织中的所有用户都将使用您的本地混合数据安全域来获取加密密钥和其他安全领域服务。除非在执行灾难恢复的过程中停用服务,否则将无法从生产模式返回到试用模式。要重新激活服务,您需要设置新的试用。
1

登录 Control Hub,然后选择 服务

2

在混合数据安全下,单击 设置

3

在“服务状态”部分中,单击转入生产模式

4

确认是否要将所有用户转入生产模式。

在不转入生产模式的情况下结束试用

如果在试用期间您决定不继续部署混合数据安全,则可以停用混合数据安全,这将结束试用并将试用用户移回云数据安全服务。试用用户将无法访问在试用过程中加密的数据。
1

登录 Control Hub,然后选择 服务

2

在混合数据安全下,单击 设置

3

在“停用”部分中,单击停用

4

确认是否要停用服务并结束试用。

管理您的 HDS 部署

管理 HDS 部署

使用此处描述的任务来管理您的混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,从而确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录到 Control Hub。

2

在“概述”页面上,选择“混合服务”下的混合数据安全

3

在混合数据安全资源页面,选择集群。

4

在右侧的“概述”面板中,选择“集群设置”下的集群名称。

5

在“设置”页面中的“升级”下方,为升级安排选择时间与时区。

注:下一可用升级的日期与时间显示在时区下。如有需要,您可以通过单击推迟将升级推迟至下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置— 新旧密码均有效期最长为 10 天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置— 旧密码立即失效。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果您没有 Docker Desktop 许可证,您可以使用 Podman Desktop 运行 HDS 设置工具,执行以下步骤中的步骤 1.a 至 1.e。有关详细信息,请参阅 使用 Podman Desktop 运行 HDS 安装工具

    如果 HDS 设置工具在您的环境中在代理后面运行,请在 1.e中启动 Docker 容器时通过 Docker 环境变量提供代理设置(服务器、端口、凭据)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    安装工具不支持通过 连接到本地主机 http://localhost:8080。使用 http://127.0.0.1:8080 连接到本地主机。

  7. 出现提示时,输入您的 Control Hub 客户登录凭据,然后单击 接受 继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您只有一个 HDS 节点正在运行,请创建一个新的混合数据安全节点 VM 并使用新的配置 ISO 文件进行注册。有关更详细的说明,请参阅 创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在 Control Hub 中注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1,选择从 ISO 文件挂载的选项,然后浏览到下载新配置 ISO 文件的位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在 Web 浏览器中,打开混合数据安全节点界面(IP address/setup, 例如, https://192.0.2.0/setup), 输入您为节点设置的管理员凭据,然后单击 登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

按照此过程从 Webex 云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录 Control Hub,然后选择 服务

  2. 在混合数据安全卡片上,点击 查看全部 ,显示混合数据安全资源页面。

  3. 选择您的集群以显示其概览面板。

  4. 点击 打开节点列表

  5. 在“节点”选项卡上,选择要删除的节点。

  6. 点击 操作 > 注销节点

3

在 vSphere 客户端中,删除虚拟机。(在左侧导航窗格中,右键单击虚拟机,然后单击 删除。)

如果不删除虚拟机,请记住卸载配置 ISO 文件。如果没有 ISO 文件,您就无法使用 VM 访问您的安全数据。

使用备用数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在 Webex 云中的消息和其他内容的密钥。对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会被路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。混合数据安全数据库或用于架构的配置 ISO 的丢失将导致客户内容无法恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主数据中心的 HDS 部署不可用,请按照此过程手动故障转移到备用数据中心。

1

启动 HDS 安装工具并按照 为 HDS 主机创建配置 ISO中提到的步骤进行操作。

2

配置完Syslogd服务器后,点击 高级设置

3

高级设置 页面中,添加下面的配置或者删除 passiveMode 配置以使节点处于活动状态。一旦配置完成,节点就可以处理流量。


passiveMode: 'false'

4

完成配置过程并将 ISO 文件保存在易于查找的位置。

5

在本地系统上制作 ISO 文件的备份副本。确保备份副本的安全。此文件包含针对数据库内容的主加密密钥。仅限制那些应该进行配置更改的混合数据安全管理员的访问权限。

6

在 VMware vSphere 客户端的左侧导航窗格中,右键单击虚拟机,然后单击 编辑设置。

7

点击 编辑设置 >CD/DVD 驱动器 1 并选择数据存储 ISO 文件。

确保选中 已连接开机时连接 ,以便更新的配置更改可以在启动节点后生效。

8

打开 HDS 节点电源,确保至少 15 分钟内没有警报。

9

对备用数据中心中的每个节点重复该过程。

检查系统日志输出以验证备用数据中心的节点未处于被动模式。“以被动模式配置的 KMS” 不应出现在系统日志中。

下一步

故障转移后,如果主数据中心再次变为活动状态,请按照 设置备用数据中心以进行灾难恢复中描述的步骤将备用数据中心再次置于被动模式。

(可选)HDS 配置后卸载 ISO

标准 HDS 配置在安装 ISO 的情况下运行。但是,一些客户不喜欢持续安装 ISO 文件。所有 HDS 节点都采用新配置后,您可以卸载 ISO 文件。

您仍然可以使用 ISO 文件来进行配置更改。当您通过安装工具创建新的 ISO 或更新 ISO 时,您必须在所有 HDS 节点上安装更新的 ISO。一旦所有节点都获取了配置更改,您就可以按照此过程再次卸载 ISO。

准备工作

将所有 HDS 节点升级到版本 2021.01.22.4720 或更高版本。

1

关闭其中一个 HDS 节点。

2

在 vCenter Server Appliance 中,选择 HDS 节点。

3

选择 编辑设置 > CD/DVD 驱动器 并取消选中 数据存储 ISO 文件

4

打开 HDS 节点电源并确保至少 20 分钟内没有警报。

5

依次对每个 HDS 节点重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点都无法访问,或者集群运行速度太慢导致请求超时,则混合数据安全部署被视为不可用。如果用户无法访问您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

重要的是您要正确监控混合数据安全集群并及时处理任何警报以避免服务中断。

提示

如果混合数据安全设置存在问题,Control Hub 会向组织管理员显示警报,并向配置的电子邮件地址发送电子邮件。警告涵盖了许多常见情境。

表 1. 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按照 外部连接要求中指定的方式访问 Webex 服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

激活试用模式,或者完成从试用到生产的迁移。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

混合数据安全疑难解答

在解决混合数据安全问题时,请遵循以下一般准则。
1

检查控制中心是否有任何警报并修复在那里发现的任何项目。

2

查看系统日志服务器输出以了解混合数据安全部署的活动。

3

联系 Cisco 支持人员

其他说明

混合数据安全的已知问题

  • 如果您关闭混合数据安全集群(通过在 Control Hub 中删除它或关闭所有节点)、丢失配置 ISO 文件或失去对密钥库数据库的访问权限,则您的 Webex App 用户将无法再使用其人员列表下使用 KMS 中的密钥创建的空间。这也适用于试用和生产部署。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。当用户成为混合数据安全试用的成员时,用户的客户端将继续使用现有的 ECDH 连接,直到超时。或者,用户可以退出并重新登录 Webex App 应用程序来更新应用程序联系的加密密钥的位置。

    当将组织从试用迁移到生产时,也会出现相同的情况。所有已与前一个数据安全服务建立 ECDH 连接的非试用用户都将继续使用这些服务,直至 ECDH 连接被重新协商(通过超时,或通过注销并重新登录)。

使用 Podman Desktop 运行 HDS 设置工具

Podman 是一个免费的开源容器管理工具,它提供了运行、管理和创建容器的方法。Podman Desktop 可以从 https://podman-desktop.io/downloads下载。

  • 在本地计算机上,HDS 安装工具是以 Docker 容器的形式运行的。要访问它,请在该机器上下载并运行 Podman。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果 HDS 设置工具在您的环境中的代理后面运行,请在步骤 5 启动 Docker 容器时通过 Docker 环境变量提供代理设置(服务器、端口、凭据)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置 ISO 文件包含加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。无论何时进行配置更改,您都需要此文件的最新副本,例如:

    • 数据库凭据

    • 证书更新

    • 授权政策变更

  • 如果您计划加密数据库连接,请为 TLS 设置 PostgreSQL 或 SQL Server 部署。

混合数据安全设置过程会创建一个 ISO 文件。然后使用 ISO 配置混合数据安全主机。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

podman rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

podman rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

podman login docker.io -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

podman pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

podman pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在具有 HTTPS 代理的常规环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

下一步

按照 为 HDS 主机创建配置 ISO更改节点配置 中的其余步骤来创建或更改 ISO 配置。

利用 OpenSSL 生成 PKCS12 文件

准备工作

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您确实选择使用 OpenSSL,我们将提供此过程作为指南,以帮助您创建符合 X.509 证书要求中的 X.509 证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

当您从 CA 收到服务器证书时,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem的证书包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

创建具有友好名称 kms-private-key的 . p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,验证私钥和第一个证书是否包含行 friendlyName: kms-private-key

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

下一步

返回 完成混合数据安全的先决条件。您将在 为 HDS 主机创建配置 ISO中使用 hdsnode.p12 文件以及为其设置的密码。

当原始证书到期时,您可以重新使用这些文件来申请新的证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到 Webex 云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从 Webex 云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查 HTTPS 流量的 Squid 代理可能会干扰混合数据安全所需的 websocket (wss:) 连接的建立。这些部分提供了有关如何配置各种版本的 Squid 来忽略 wss: 流量以确保服务正常运行的指导。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我们通过将以下规则添加到 squid.conf成功测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
这篇文章对您有帮助吗?
这篇文章对您有帮助吗?
定价Webex 应用程序MeetingsCalling消息传递屏幕共享
Webex SuiteCallingMeetings消息传递SlidoWebinarsSocioContact CenterCPaaS安全性Control Hub
耳机摄像头Desk 系列Room 系列Board 系列Phone 系列配件
教育医疗保健政府财务体育与娱乐一线员工非营利组织新兴公司混合式工作
下载加入测试会议在线课程集成辅助功能包容性直播和点播网络研讨会Webex 社区Webex 开发人员新闻和创新
Cisco联系技术支持联系销售Webex BlogWebex 思想领导力Webex 商店职业
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
条款和条件隐私权声明Cookie商标
©2025 Cisco 和/或其附属公司。保留所有权利。
条款和条件隐私权声明Cookie商标