在此文章中
dropdown icon
新信息和变更信息
    新信息和变更信息
dropdown icon
开始使用多租户混合数据安全
    dropdown icon
    多租户混合数据安全概述
      多租户混合数据安全如何提供数据主权和数据控制
      多租户混合数据安全的局限性
      多租户混合数据安全中的角色
    dropdown icon
    安全域架构
      分离领域(无混合数据安全)
    与其他组织的协作
    部署混合数据安全的期望
    高级设置过程
    dropdown icon
    混合数据安全部署模式
      混合数据安全部署模式
    dropdown icon
    灾难恢复备用数据中心
      手动故障转移到备用数据中心
    代理支持
dropdown icon
准备好您的环境
    dropdown icon
    多租户混合数据安全的要求
      Cisco Webex 许可证要求
      Docker 桌面要求
      X.509 证书要求
      虚拟主机要求
      数据库服务器要求
      外部连接要求
      代理服务器要求
    满足混合数据安全的先决条件
dropdown icon
设置混合数据安全集群
    混合数据安全部署任务流程
    执行初始设置并下载安装文件
    为 HDS 主机创建配置 ISO
    安装 HDS 主机 OVA
    设置混合数据安全 VM
    上传并装载 HDS 配置 ISO
    配置用于代理集成的 HDS 节点
    注册集群中的第一个节点
    创建并注册更多节点
dropdown icon
管理多租户混合数据安全的租户组织
    在合作伙伴中心激活多租户 HDS
    在合作伙伴中心添加租户组织
    使用 HDS 设置工具创建客户主密钥 (CMK)
    删除租户组织
    撤销已从 HDS 移除的租户的 CMK。
dropdown icon
测试混合数据安全部署
    测试混合数据安全部署
    监控混合数据安全的运行状况
dropdown icon
管理您的 HDS 部署
    管理 HDS 部署
    设置集群升级计划
    更改节点配置
    关闭阻止外部 DNS 解析模式
    删除节点
    使用备用数据中心进行灾难恢复
    (可选)HDS 配置后卸载 ISO
dropdown icon
混合数据安全疑难解答
    查看警告和疑难解答
    dropdown icon
    警告
      常见问题与解决步骤
    混合数据安全疑难解答
dropdown icon
其他说明
    混合数据安全的已知问题
    使用 Podman Desktop 运行 HDS 设置工具
    dropdown icon
    将 Control Hub 中合作伙伴组织的现有单租户 HDS 部署移至 Partner Hub 中的多租户 HDS 设置
      在 Control Hub 中停用 HDS、取消注册节点并删除集群
      在合作伙伴中心为合作伙伴组织激活多租户 HDS 并添加客户
    利用 OpenSSL 生成 PKCS12 文件
    HDS 节点和云之间的通信
    dropdown icon
    配置用于混合数据安全的 Squid 代理
      Websocket 无法通过 Squid 代理连接
dropdown icon
停用多租户混合数据安全
    多租户 HDS 停用任务流程
2025年5月22日 | 3 次查看 | 0 人认为有帮助

多租户混合数据安全 (HDS) 部署指南 (测试版)

list-menu在此文章中
list-menu反馈?

新信息和已更改的信息

新信息和已更改的信息

此表涵盖新功能或功能、现有内容的更改以及多租户混合数据安全部署指南中修复的任何重大错误。

日期

已更改

2024年12月13日

首次发布。

停用多租户混合数据安全

多租户HDS停用任务流程

按照以下步骤完全停用多租户HDS。

开始之前

此任务只能由合作伙伴的完整管理员执行。
1

删除租户组织中提到的所有客户群中删除所有客户。

2

废止所有客户的CMK,如废止从重型包装袋中删除的租户的CMK 中提到的。

3

删除所有集群中的所有节点,如删除节点中所述。

4

使用以下两种方法之一从Partner Hub中删除所有集群。

  • 单击要删除的集群,然后在概览页面右上角选择删除此集群
  • 在“资源”页面中,单击集群右侧的…,然后选择删除集群
5

单击“混合数据安全”概览页面上的设置 选项卡,然后单击“HDS状态卡”上的停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco的安全领域中的动态密钥进行端到端加密,这些密钥存储在Cloud KMS中。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过可信的本地合作伙伴利用HDS,后者可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织设置HDS实例,并根据需要创建HDS集群。每个实例可以支持多个客户组织,而常规的HDS部署仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问由客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使小型组织能够利用HDS,因为关键管理服务和数据中心等安全基础设施由可信的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容不受外部访问(如云服务提供商)的保护。
  • 本地值得信赖的合作伙伴管理与其已建立关系的客户的加密密钥。
  • 如果由合作伙伴提供,则可选择当地技术支持。
  • 支持会议、消息传递和呼叫内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下设置和管理客户。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 -可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 -可以管理管理员配置或已分配给用户的客户设置。
  • 完全管理员 -被授权执行诸如修改组织设置、管理许可证和分配角色等任务的合作伙伴组织的管理员。
  • 所有客户组织端到端多租户HDS设置和管理 -需要合作伙伴完全管理员权限和完全管理员权限。
  • 管理已分配的租户组织 -需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合多租户混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要作出重大承诺并意识到拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级设置流程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件、建立HDS集群、向集群中添加租户组织以及管理其客户主键(CMK)。这将使客户组织的所有用户都可以使用混合数据安全集群来执行安全功能。

    设置、激活和管理阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Partner Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Partner Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全要求

Cisco Webex许可证要求

要部署多租户混合数据安全:

  • 合作伙伴组织:联系您的Cisco合作伙伴或客户经理,并确保启用多租户功能。

  • 租户组织:您必须拥有Cisco Webex Control Hub的Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 6.5(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用“多租户HDS”(多租户HDS)功能,并获得合作伙伴完全管理员权限和完全管理员权限的帐户凭证。确保您的Webex客户组织已为Cisco Webex Control Hub的Pro Pack启用。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应进行任何现有HDS部署。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

在集群中注册第一个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建并注册更多节点

完成集群设置。

9

在Partner Hub上激活多租户HDS。

在Partner Hub上激活HDS并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录合作伙伴中心,然后单击服务

2

在“云服务”部分中,找到混合数据安全卡,然后单击设置

3

单击添加资源 并单击安装和配置软件 卡上的下载。OVA文件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

您也可以随时从帮助 部分下载OVA。单击设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击查看混合数据安全部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    例如:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 6.5进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

在集群中注册第一个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,查找混合数据安全卡,然后单击设置

4

在打开的页中,单击添加资源

5

添加节点 卡的第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击屏幕底部的添加

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
9

单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

混合数据安全 页面上,包含资源 选项卡下显示的新集群。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“云服务”部分中,找到混合数据安全卡,然后单击查看全部

    将显示混合数据安全资源页面。

  3. 新创建的集群将出现在资源 页面中。

  4. 单击集群以查看分配给集群的节点。

  5. 单击屏幕右侧的添加节点

  6. 输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击添加

    会打开一个页面,其中包含一条消息,表明您可以将节点注册到Webex云中。几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

    已添加节点 弹出消息也出现在“合作伙伴中心”屏幕的底部。

    您的节点已注册。

在多租户混合数据安全上管理租户组织

在Partner Hub上激活多租户HDS

此任务确保客户组织的所有用户都可以开始利用HDS进行内部加密密钥和其他安全服务。

开始之前

确保您已完成设置多租户HDS集群所需的节点数。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击编辑设置

4

单击HDS Status 卡上的激活HDS

在Partner Hub中添加租户组织

在此任务中,您将客户组织分配给您的混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

单击要分配给客户的集群。

5

转至已分配客户 选项卡。

6

单击添加客户

7

从下拉菜单中选择要添加的客户。

8

单击添加,客户将被添加到集群中。

9

重复步骤6至8,将多个客户添加到您的群集。

10

添加客户后,单击屏幕底部的完成

下一步

按照使用HDS设置工具创建客户主键(CMK) 中的详细说明,运行HDS设置工具,以完成设置过程。

使用HDS设置工具创建客户主键(CMK)

开始之前

按照合作伙伴枢纽中添加租户组织中的详细信息,将客户分配给相应的集群。运行HDS设置工具以完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

确保连接到数据库以执行CMK管理。
11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 为所有组织创建CMK创建CMK -单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击创建CMK 为所有新添加的组织创建CMK。
  • 单击表格中特定组织待处理状态的CMK管理附近的…,然后单击创建CMK ,为该组织创建CMK。
12

成功创建CMK后,表格中的状态将从待定CMK管理 更改为CMK管理

13

如果CMK创建失败,将显示错误。

删除租户组织

开始之前

删除后,客户组织的用户将无法利用HDS满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系Cisco合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

资源 标签页上,单击要删除客户组织的集群。

5

在打开的页中,单击已分配客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ,然后单击从群集中删除

下一步

撤销从重型包装袋中删除的租户的CMK中详述,通过撤销客户组织的CMK来完成删除流程。

撤销从重型包装袋中删除的租户的CMK。

开始之前

按照删除租户组织中的详细说明从适当集群中删除客户。运行HDS设置工具以完成被删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 撤销所有组织的CMK撤销所有CMK -单击屏幕顶部横幅上的此按钮,以撤销已删除的所有组织的CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击撤销已删除的所有组织的CMK
  • 单击 表格中特定组织的CMK要被撤销 状态,然后单击Revoke CMK 以撤销该特定组织的CMK。
12

一旦CMK撤销成功,客户组织将不再出现在表中。

13

如果CMK撤销失败,将显示错误。

测试您的混合数据安全部署

测试混合数据安全部署

使用此程序测试多租户混合数据安全加密场景。

开始之前

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。作为客户组织用户之一登录Webex应用程序,然后创建空间。

如果您停用混合数据安全部署,一旦替换了客户端缓存的加密密钥副本,用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Partner Hub中的状态指示器会显示多租户混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择服务

2

在“云服务”部分中,找到“混合数据安全”并单击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击设置

4

在“混合数据安全资源”页面上,选择集群。

5

单击集群设置 选项卡。

6

在“群集设置”页上,在“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击暂停24小时将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的Partner Hub帐户的凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Partner Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到合作伙伴中心,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击要删除的节点。

  5. 单击右侧面板上的取消注册此节点

  6. 您也可以取消注册节点,方法是单击节点的右侧…,然后选择删除该节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

开始之前

按照删除节点中提到的从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新ISO文件执行下面提到的故障转移程序。
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

完成配置过程并将该ISO文件保存在易于查找的位置。

3

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

6

打开HDS节点,并确保至少15分钟没有警报。

7

在合作伙伴中心中注册节点。参考注册集群中的第一个节点

8

为待机数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次处于活动状态,取消注册待机数据中心的节点,并重复配置ISO和注册主数据中心节点的过程,如上所述。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Partner Hub会显示组织管理员警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在Partner Hub中激活HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

未针对已添加的机构完成租户组织设置

使用HDS设置工具为新添加的租户组织创建CMK来完成设置。

已删除的机构尚未完成租户组织设置

通过撤销使用HDS设置工具删除的租户组织的CMK来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

请查看“合作伙伴中心”以获取任何警报,并修复您在其中找到的任何项目。请参阅下面的图像以供参考。

2

查看混合数据安全部署中的活动的syslog服务器输出。筛选“警告”和“错误”等词语以帮助故障排除。

3

联系 Cisco 支持人员

其他注释

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Partner Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,客户组织的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

新信息和已更改的信息

新信息和已更改的信息

此表涵盖新功能或功能、现有内容的更改以及多租户混合数据安全部署指南中修复的任何重大错误。

日期

已更改

2025年1月8日

执行初始设置并下载安装文件 中添加注释,说明单击“Partner Hub”中的HDS卡上的设置 是安装流程的重要步骤。

2025年1月07日

更新了虚拟主机要求混合数据安全部署任务流程安装HDS主机OVA 以显示ESXi 7.0的新要求。

2024年12月13日

首次发布。

停用多租户混合数据安全

多租户HDS停用任务流程

按照以下步骤完全停用多租户HDS。

开始之前

此任务只能由合作伙伴的完整管理员执行。
1

删除租户组织中提到的所有客户群中删除所有客户。

2

废止所有客户的CMK,如废止从重型包装袋中删除的租户的CMK 中提到的。

3

删除所有集群中的所有节点,如删除节点中所述。

4

使用以下两种方法之一从Partner Hub中删除所有集群。

  • 单击要删除的集群,然后在概览页面右上角选择删除此集群
  • 在“资源”页面中,单击集群右侧的…,然后选择删除集群
5

单击“混合数据安全”概览页面上的设置 选项卡,然后单击“HDS状态卡”上的停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过可信的本地合作伙伴利用HDS,后者可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织设置HDS实例,并根据需要创建HDS集群。每个实例可以支持多个客户组织,而常规的HDS部署仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问由客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使小型组织能够利用HDS,因为关键管理服务和数据中心等安全基础设施由可信的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容不受外部访问(如云服务提供商)的保护。
  • 本地值得信赖的合作伙伴管理与其已建立关系的客户的加密密钥。
  • 如果由合作伙伴提供,则可选择当地技术支持。
  • 支持会议、消息传递和呼叫内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下设置和管理客户。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 -可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 -可以管理管理员配置或已分配给用户的客户设置。
  • 完全管理员 -被授权执行诸如修改组织设置、管理许可证和分配角色等任务的合作伙伴组织的管理员。
  • 所有客户组织端到端多租户HDS设置和管理 -需要合作伙伴完全管理员权限和完全管理员权限。
  • 管理已分配的租户组织 -需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合多租户混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要作出重大承诺并意识到拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级设置流程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件、建立HDS集群、向集群中添加租户组织以及管理其客户主键(CMK)。这将使客户组织的所有用户都可以使用混合数据安全集群来执行安全功能。

    设置、激活和管理阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Partner Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Partner Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全要求

Cisco Webex许可证要求

要部署多租户混合数据安全:

  • 合作伙伴组织:联系您的Cisco合作伙伴或客户经理,并确保启用多租户功能。

  • 租户组织:您必须拥有Cisco Webex Control Hub的Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用“多租户HDS”(多租户HDS)功能,并获得合作伙伴完全管理员权限和完全管理员权限的帐户凭证。确保您的Webex客户组织已为Cisco Webex Control Hub的Pro Pack启用。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应进行任何现有HDS部署。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

在集群中注册第一个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建并注册更多节点

完成集群设置。

9

在Partner Hub上激活多租户HDS。

在Partner Hub上激活HDS并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录合作伙伴中心,然后单击服务。

2

在“云服务”部分中,找到混合数据安全卡,然后单击设置

在合作伙伴枢纽中单击设置 对部署流程至关重要。如果未完成此步骤,请勿继续安装。

3

单击添加资源 并单击安装和配置软件 卡上的下载。OVA文件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

您也可以随时从帮助 部分下载OVA。单击设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击查看混合数据安全部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

在集群中注册第一个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,查找混合数据安全卡,然后单击设置

4

在打开的页中,单击添加资源

5

添加节点 卡的第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击屏幕底部的添加

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
9

单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

混合数据安全 页面上,包含资源 选项卡下显示的新集群。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“云服务”部分中,找到混合数据安全卡,然后单击查看全部

    将显示混合数据安全资源页面。

  3. 新创建的集群将出现在资源 页面中。

  4. 单击集群以查看分配给集群的节点。

  5. 单击屏幕右侧的添加节点

  6. 输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击添加

    会打开一个页面,其中包含一条消息,表明您可以将节点注册到Webex云中。几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

    已添加节点 弹出消息也出现在“合作伙伴中心”屏幕的底部。

    您的节点已注册。

在多租户混合数据安全上管理租户组织

在Partner Hub上激活多租户HDS

此任务确保客户组织的所有用户都可以开始利用HDS进行内部加密密钥和其他安全服务。

开始之前

确保您已完成设置多租户HDS集群所需的节点数。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击编辑设置

4

单击HDS Status 卡上的激活HDS

在Partner Hub中添加租户组织

在此任务中,您将客户组织分配给您的混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

单击要分配给客户的集群。

5

转至已分配客户 选项卡。

6

单击添加客户

7

从下拉菜单中选择要添加的客户。

8

单击添加,客户将被添加到集群中。

9

重复步骤6至8,将多个客户添加到您的群集。

10

添加客户后,单击屏幕底部的完成

下一步

按照使用HDS设置工具创建客户主键(CMK) 中的详细说明,运行HDS设置工具,以完成设置过程。

使用HDS设置工具创建客户主键(CMK)

开始之前

按照合作伙伴枢纽中添加租户组织中的详细信息,将客户分配给相应的集群。运行HDS设置工具以完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

确保连接到数据库以执行CMK管理。
11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 为所有组织创建CMK创建CMK -单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击创建CMK 为所有新添加的组织创建CMK。
  • 单击表格中特定组织待处理状态的CMK管理附近的…,然后单击创建CMK ,为该组织创建CMK。
12

成功创建CMK后,表格中的状态将从待定CMK管理 更改为CMK管理

13

如果CMK创建失败,将显示错误。

删除租户组织

开始之前

删除后,客户组织的用户将无法利用HDS满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系Cisco合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

资源 标签页上,单击要删除客户组织的集群。

5

在打开的页中,单击已分配客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ,然后单击从群集中删除

下一步

撤销从重型包装袋中删除的租户的CMK中详述,通过撤销客户组织的CMK来完成删除流程。

撤销从重型包装袋中删除的租户的CMK。

开始之前

按照删除租户组织中的详细说明从适当集群中删除客户。运行HDS设置工具以完成被删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 撤销所有组织的CMK撤销所有CMK -单击屏幕顶部横幅上的此按钮,以撤销已删除的所有组织的CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击撤销已删除的所有组织的CMK
  • 单击 表格中特定组织的CMK要被撤销 状态,然后单击Revoke CMK 以撤销该特定组织的CMK。
12

一旦CMK撤销成功,客户组织将不再出现在表中。

13

如果CMK撤销失败,将显示错误。

测试您的混合数据安全部署

测试混合数据安全部署

使用此程序测试多租户混合数据安全加密场景。

开始之前

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。作为客户组织用户之一登录Webex应用程序,然后创建空间。

如果您停用混合数据安全部署,一旦替换了客户端缓存的加密密钥副本,用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Partner Hub中的状态指示器会显示多租户混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择服务

2

在“云服务”部分中,找到“混合数据安全”并单击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击设置

4

在“混合数据安全资源”页面上,选择集群。

5

单击集群设置 选项卡。

6

在“群集设置”页上,在“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击暂停24小时将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的Partner Hub帐户的凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Partner Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到合作伙伴中心,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击要删除的节点。

  5. 单击右侧面板上的取消注册此节点

  6. 您也可以取消注册节点,方法是单击节点的右侧…,然后选择删除该节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

开始之前

按照删除节点中提到的从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新ISO文件执行下面提到的故障转移程序。
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

完成配置过程并将该ISO文件保存在易于查找的位置。

3

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

6

打开HDS节点,并确保至少15分钟没有警报。

7

在合作伙伴中心中注册节点。参考注册集群中的第一个节点

8

为待机数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次处于活动状态,取消注册待机数据中心的节点,并重复配置ISO和注册主数据中心节点的过程,如上所述。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Partner Hub会显示组织管理员警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在Partner Hub中激活HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

未针对已添加的机构完成租户组织设置

使用HDS设置工具为新添加的租户组织创建CMK来完成设置。

已删除的机构尚未完成租户组织设置

通过撤销使用HDS设置工具删除的租户组织的CMK来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

请查看“合作伙伴中心”以获取任何警报,并修复您在其中找到的任何项目。请参阅下面的图像以供参考。

2

查看混合数据安全部署中的活动的syslog服务器输出。筛选“警告”和“错误”等词语以帮助故障排除。

3

联系 Cisco 支持人员

其他注释

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Partner Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,客户组织的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

新信息和已更改的信息

新信息和已更改的信息

此表涵盖新功能或功能、现有内容的更改以及多租户混合数据安全部署指南中修复的任何重大错误。

日期

已更改

2025年1月8日

执行初始设置并下载安装文件 中添加注释,说明单击“Partner Hub”中的HDS卡上的设置 是安装流程的重要步骤。

2025年1月07日

更新了虚拟主机要求混合数据安全部署任务流程安装HDS主机OVA 以显示ESXi 7.0的新要求。

2024年12月13日

首次发布。

停用多租户混合数据安全

多租户HDS停用任务流程

按照以下步骤完全停用多租户HDS。

开始之前

此任务只能由合作伙伴的完整管理员执行。
1

删除租户组织中提到的所有客户群中删除所有客户。

2

废止所有客户的CMK,如废止从重型包装袋中删除的租户的CMK 中提到的。

3

删除所有集群中的所有节点,如删除节点中所述。

4

使用以下两种方法之一从Partner Hub中删除所有集群。

  • 单击要删除的集群,然后在概览页面右上角选择删除此集群
  • 在“资源”页面中,单击集群右侧的…,然后选择删除集群
5

单击“混合数据安全”概览页面上的设置 选项卡,然后单击“HDS状态卡”上的停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过可信的本地合作伙伴利用HDS,后者可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织设置HDS实例,并根据需要创建HDS集群。每个实例可以支持多个客户组织,而常规的HDS部署仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问由客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使小型组织能够利用HDS,因为关键管理服务和数据中心等安全基础设施由可信的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容不受外部访问(如云服务提供商)的保护。
  • 本地值得信赖的合作伙伴管理与其已建立关系的客户的加密密钥。
  • 如果由合作伙伴提供,则可选择当地技术支持。
  • 支持会议、消息传递和呼叫内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下设置和管理客户。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 -可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 -可以管理管理员配置或已分配给用户的客户设置。
  • 完全管理员 -被授权执行诸如修改组织设置、管理许可证和分配角色等任务的合作伙伴组织的管理员。
  • 所有客户组织端到端多租户HDS设置和管理 -需要合作伙伴完全管理员权限和完全管理员权限。
  • 管理已分配的租户组织 -需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合多租户混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要作出重大承诺并意识到拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级设置流程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件、建立HDS集群、向集群中添加租户组织以及管理其客户主键(CMK)。这将使客户组织的所有用户都可以使用混合数据安全集群来执行安全功能。

    设置、激活和管理阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Partner Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Partner Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全要求

Cisco Webex许可证要求

要部署多租户混合数据安全:

  • 合作伙伴组织:联系您的Cisco合作伙伴或客户经理,并确保启用多租户功能。

  • 租户组织:您必须拥有Cisco Webex Control Hub的Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用“多租户HDS”(多租户HDS)功能,并获得合作伙伴完全管理员权限和完全管理员权限的帐户凭证。确保您的Webex客户组织已为Cisco Webex Control Hub的Pro Pack启用。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应进行任何现有HDS部署。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

在集群中注册第一个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建并注册更多节点

完成集群设置。

9

在Partner Hub上激活多租户HDS。

在Partner Hub上激活HDS并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录合作伙伴中心,然后单击服务。

2

在“云服务”部分中,找到混合数据安全卡,然后单击设置

在合作伙伴枢纽中单击设置 对部署流程至关重要。如果未完成此步骤,请勿继续安装。

3

单击添加资源 并单击安装和配置软件 卡上的下载。OVA文件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

您也可以随时从帮助 部分下载OVA。单击设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击查看混合数据安全部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

在集群中注册第一个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,查找混合数据安全卡,然后单击设置

4

在打开的页中,单击添加资源

5

添加节点 卡的第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击屏幕底部的添加

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
9

单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

混合数据安全 页面上,包含资源 选项卡下显示的新集群。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“云服务”部分中,找到混合数据安全卡,然后单击查看全部

    将显示混合数据安全资源页面。

  3. 新创建的集群将出现在资源 页面中。

  4. 单击集群以查看分配给集群的节点。

  5. 单击屏幕右侧的添加节点

  6. 输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击添加

    会打开一个页面,其中包含一条消息,表明您可以将节点注册到Webex云中。几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

    已添加节点 弹出消息也出现在“合作伙伴中心”屏幕的底部。

    您的节点已注册。

在多租户混合数据安全上管理租户组织

在Partner Hub上激活多租户HDS

此任务确保客户组织的所有用户都可以开始利用HDS进行内部加密密钥和其他安全服务。

开始之前

确保您已完成设置多租户HDS集群所需的节点数。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击编辑设置

4

单击HDS Status 卡上的激活HDS

在Partner Hub中添加租户组织

在此任务中,您将客户组织分配给您的混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

单击要分配给客户的集群。

5

转至已分配客户 选项卡。

6

单击添加客户

7

从下拉菜单中选择要添加的客户。

8

单击添加,客户将被添加到集群中。

9

重复步骤6至8,将多个客户添加到您的群集。

10

添加客户后,单击屏幕底部的完成

下一步

按照使用HDS设置工具创建客户主键(CMK) 中的详细说明,运行HDS设置工具,以完成设置过程。

使用HDS设置工具创建客户主键(CMK)

开始之前

按照合作伙伴枢纽中添加租户组织中的详细信息,将客户分配给相应的集群。运行HDS设置工具以完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

确保连接到数据库以执行CMK管理。
11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 为所有组织创建CMK创建CMK -单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击创建CMK 为所有新添加的组织创建CMK。
  • 单击表格中特定组织待处理状态的CMK管理附近的…,然后单击创建CMK ,为该组织创建CMK。
12

成功创建CMK后,表格中的状态将从待定CMK管理 更改为CMK管理

13

如果CMK创建失败,将显示错误。

删除租户组织

开始之前

删除后,客户组织的用户将无法利用HDS满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系Cisco合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

资源 标签页上,单击要删除客户组织的集群。

5

在打开的页中,单击已分配客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ,然后单击从群集中删除

下一步

撤销从重型包装袋中删除的租户的CMK中详述,通过撤销客户组织的CMK来完成删除流程。

撤销从重型包装袋中删除的租户的CMK。

开始之前

按照删除租户组织中的详细说明从适当集群中删除客户。运行HDS设置工具以完成被删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 撤销所有组织的CMK撤销所有CMK -单击屏幕顶部横幅上的此按钮,以撤销已删除的所有组织的CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击撤销已删除的所有组织的CMK
  • 单击 表格中特定组织的CMK要被撤销 状态,然后单击Revoke CMK 以撤销该特定组织的CMK。
12

一旦CMK撤销成功,客户组织将不再出现在表中。

13

如果CMK撤销失败,将显示错误。

测试您的混合数据安全部署

测试混合数据安全部署

使用此程序测试多租户混合数据安全加密场景。

开始之前

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。作为客户组织用户之一登录Webex应用程序,然后创建空间。

如果您停用混合数据安全部署,一旦替换了客户端缓存的加密密钥副本,用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Partner Hub中的状态指示器会显示多租户混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择服务

2

在“云服务”部分中,找到“混合数据安全”并单击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击设置

4

在“混合数据安全资源”页面上,选择集群。

5

单击集群设置 选项卡。

6

在“群集设置”页上,在“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击暂停24小时将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的Partner Hub帐户的凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Partner Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到合作伙伴中心,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击要删除的节点。

  5. 单击右侧面板上的取消注册此节点

  6. 您也可以取消注册节点,方法是单击节点的右侧…,然后选择删除该节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

开始之前

按照删除节点中提到的从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新ISO文件执行下面提到的故障转移程序。
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

完成配置过程并将该ISO文件保存在易于查找的位置。

3

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

6

打开HDS节点,并确保至少15分钟没有警报。

7

在合作伙伴中心中注册节点。参考注册集群中的第一个节点

8

为待机数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次处于活动状态,取消注册待机数据中心的节点,并重复配置ISO和注册主数据中心节点的过程,如上所述。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Partner Hub会显示组织管理员警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在Partner Hub中激活HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

未针对已添加的机构完成租户组织设置

使用HDS设置工具为新添加的租户组织创建CMK来完成设置。

已删除的机构尚未完成租户组织设置

通过撤销使用HDS设置工具删除的租户组织的CMK来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

请查看“合作伙伴中心”以获取任何警报,并修复您在其中找到的任何项目。请参阅下面的图像以供参考。

2

查看混合数据安全部署中的活动的syslog服务器输出。筛选“警告”和“错误”等词语以帮助故障排除。

3

联系 Cisco 支持人员

其他注释

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Partner Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,客户组织的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

新信息和已更改的信息

新信息和已更改的信息

此表涵盖新功能或功能、现有内容的更改以及多租户混合数据安全部署指南中修复的任何重大错误。

日期

已更改

2025年1月8日

执行初始设置并下载安装文件 中添加注释,说明单击“Partner Hub”中的HDS卡上的设置 是安装流程的重要步骤。

2025年1月07日

更新了虚拟主机要求混合数据安全部署任务流程安装HDS主机OVA 以显示ESXi 7.0的新要求。

2024年12月13日

首次发布。

停用多租户混合数据安全

多租户HDS停用任务流程

按照以下步骤完全停用多租户HDS。

开始之前

此任务只能由合作伙伴的完整管理员执行。
1

删除租户组织中提到的所有客户群中删除所有客户。

2

废止所有客户的CMK,如废止从重型包装袋中删除的租户的CMK 中提到的。

3

删除所有集群中的所有节点,如删除节点中所述。

4

使用以下两种方法之一从Partner Hub中删除所有集群。

  • 单击要删除的集群,然后在概览页面右上角选择删除此集群
  • 在“资源”页面中,单击集群右侧的…,然后选择删除集群
5

单击“混合数据安全”概览页面上的设置 选项卡,然后单击“HDS状态卡”上的停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过可信的本地合作伙伴利用HDS,后者可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织设置HDS实例,并根据需要创建HDS集群。每个实例可以支持多个客户组织,而常规的HDS部署仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问由客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使小型组织能够利用HDS,因为关键管理服务和数据中心等安全基础设施由可信的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容不受外部访问(如云服务提供商)的保护。
  • 本地值得信赖的合作伙伴管理与其已建立关系的客户的加密密钥。
  • 如果由合作伙伴提供,则可选择当地技术支持。
  • 支持会议、消息传递和呼叫内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下设置和管理客户。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 -可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 -可以管理管理员配置或已分配给用户的客户设置。
  • 完全管理员 -被授权执行诸如修改组织设置、管理许可证和分配角色等任务的合作伙伴组织的管理员。
  • 所有客户组织端到端多租户HDS设置和管理 -需要合作伙伴完全管理员权限和完全管理员权限。
  • 管理已分配的租户组织 -需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合多租户混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要作出重大承诺并意识到拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级设置流程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件、建立HDS集群、向集群中添加租户组织以及管理其客户主键(CMK)。这将使客户组织的所有用户都可以使用混合数据安全集群来执行安全功能。

    设置、激活和管理阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Partner Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Partner Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全要求

Cisco Webex许可证要求

要部署多租户混合数据安全:

  • 合作伙伴组织:联系您的Cisco合作伙伴或客户经理,并确保启用多租户功能。

  • 租户组织:您必须拥有Cisco Webex Control Hub的Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用“多租户HDS”(多租户HDS)功能,并获得合作伙伴完全管理员权限和完全管理员权限的帐户凭证。确保您的Webex客户组织已为Cisco Webex Control Hub的Pro Pack启用。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应进行任何现有HDS部署。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

在集群中注册第一个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建并注册更多节点

完成集群设置。

9

在Partner Hub上激活多租户HDS。

在Partner Hub上激活HDS并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录合作伙伴中心,然后单击服务。

2

在“云服务”部分中,找到混合数据安全卡,然后单击设置

在合作伙伴枢纽中单击设置 对部署流程至关重要。如果未完成此步骤,请勿继续安装。

3

单击添加资源 并单击安装和配置软件 卡上的下载。OVA文件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

您也可以随时从帮助 部分下载OVA。单击设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击查看混合数据安全部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

在集群中注册第一个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,查找混合数据安全卡,然后单击设置

4

在打开的页中,单击添加资源

5

添加节点 卡的第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击屏幕底部的添加

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
9

单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

混合数据安全 页面上,包含资源 选项卡下显示的新集群。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“云服务”部分中,找到混合数据安全卡,然后单击查看全部

    将显示混合数据安全资源页面。

  3. 新创建的集群将出现在资源 页面中。

  4. 单击集群以查看分配给集群的节点。

  5. 单击屏幕右侧的添加节点

  6. 输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击添加

    会打开一个页面,其中包含一条消息,表明您可以将节点注册到Webex云中。几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

    已添加节点 弹出消息也出现在“合作伙伴中心”屏幕的底部。

    您的节点已注册。

在多租户混合数据安全上管理租户组织

在Partner Hub上激活多租户HDS

此任务确保客户组织的所有用户都可以开始利用HDS进行内部加密密钥和其他安全服务。

开始之前

确保您已完成设置多租户HDS集群所需的节点数。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击编辑设置

4

单击HDS Status 卡上的激活HDS

在Partner Hub中添加租户组织

在此任务中,您将客户组织分配给您的混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

单击要分配给客户的集群。

5

转至已分配客户 选项卡。

6

单击添加客户

7

从下拉菜单中选择要添加的客户。

8

单击添加,客户将被添加到集群中。

9

重复步骤6至8,将多个客户添加到您的群集。

10

添加客户后,单击屏幕底部的完成

下一步

按照使用HDS设置工具创建客户主键(CMK) 中的详细说明,运行HDS设置工具,以完成设置过程。

使用HDS设置工具创建客户主键(CMK)

开始之前

按照合作伙伴枢纽中添加租户组织中的详细信息,将客户分配给相应的集群。运行HDS设置工具以完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

确保连接到数据库以执行CMK管理。
11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 为所有组织创建CMK创建CMK -单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击创建CMK 为所有新添加的组织创建CMK。
  • 单击表格中特定组织待处理状态的CMK管理附近的…,然后单击创建CMK ,为该组织创建CMK。
12

成功创建CMK后,表格中的状态将从待定CMK管理 更改为CMK管理

13

如果CMK创建失败,将显示错误。

删除租户组织

开始之前

删除后,客户组织的用户将无法利用HDS满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系Cisco合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

资源 标签页上,单击要删除客户组织的集群。

5

在打开的页中,单击已分配客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ,然后单击从群集中删除

下一步

撤销从重型包装袋中删除的租户的CMK中详述,通过撤销客户组织的CMK来完成删除流程。

撤销从重型包装袋中删除的租户的CMK。

开始之前

按照删除租户组织中的详细说明从适当集群中删除客户。运行HDS设置工具以完成被删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 撤销所有组织的CMK撤销所有CMK -单击屏幕顶部横幅上的此按钮,以撤销已删除的所有组织的CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击撤销已删除的所有组织的CMK
  • 单击 表格中特定组织的CMK要被撤销 状态,然后单击Revoke CMK 以撤销该特定组织的CMK。
12

一旦CMK撤销成功,客户组织将不再出现在表中。

13

如果CMK撤销失败,将显示错误。

测试您的混合数据安全部署

测试混合数据安全部署

使用此程序测试多租户混合数据安全加密场景。

开始之前

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。作为客户组织用户之一登录Webex应用程序,然后创建空间。

如果您停用混合数据安全部署,一旦替换了客户端缓存的加密密钥副本,用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Partner Hub中的状态指示器会显示多租户混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择服务

2

在“云服务”部分中,找到“混合数据安全”并单击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击设置

4

在“混合数据安全资源”页面上,选择集群。

5

单击集群设置 选项卡。

6

在“群集设置”页上,在“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击暂停24小时将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的Partner Hub帐户的凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Partner Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到合作伙伴中心,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击要删除的节点。

  5. 单击右侧面板上的取消注册此节点

  6. 您也可以取消注册节点,方法是单击节点的右侧…,然后选择删除该节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

开始之前

按照删除节点中提到的从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新ISO文件执行下面提到的故障转移程序。
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

完成配置过程并将该ISO文件保存在易于查找的位置。

3

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

6

打开HDS节点,并确保至少15分钟没有警报。

7

在合作伙伴中心中注册节点。参考注册集群中的第一个节点

8

为待机数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次处于活动状态,取消注册待机数据中心的节点,并重复配置ISO和注册主数据中心节点的过程,如上所述。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Partner Hub会显示组织管理员警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在Partner Hub中激活HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

未针对已添加的机构完成租户组织设置

使用HDS设置工具为新添加的租户组织创建CMK来完成设置。

已删除的机构尚未完成租户组织设置

通过撤销使用HDS设置工具删除的租户组织的CMK来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

请查看“合作伙伴中心”以获取任何警报,并修复您在其中找到的任何项目。请参阅下面的图像以供参考。

2

查看混合数据安全部署中的活动的syslog服务器输出。筛选“警告”和“错误”等词语以帮助故障排除。

3

联系 Cisco 支持人员

其他注释

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Partner Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,客户组织的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

新信息和已更改的信息

新信息和已更改的信息

此表涵盖新功能或功能、现有内容的更改以及多租户混合数据安全部署指南中修复的任何重大错误。

日期

已更改

2025年1月15日

增加了多租户混合数据安全的限制。

2025年1月8日

执行初始设置并下载安装文件 中添加注释,说明单击“Partner Hub”中的HDS卡上的设置 是安装流程的重要步骤。

2025年1月07日

更新了虚拟主机要求混合数据安全部署任务流程安装HDS主机OVA 以显示ESXi 7.0的新要求。

2024年12月13日

首次发布。

停用多租户混合数据安全

多租户HDS停用任务流程

按照以下步骤完全停用多租户HDS。

开始之前

此任务只能由合作伙伴的完整管理员执行。
1

删除租户组织中提到的所有客户群中删除所有客户。

2

废止所有客户的CMK,如废止从重型包装袋中删除的租户的CMK 中提到的。

3

删除所有集群中的所有节点,如删除节点中所述。

4

使用以下两种方法之一从Partner Hub中删除所有集群。

  • 单击要删除的集群,然后在概览页面右上角选择删除此集群
  • 在“资源”页面中,单击集群右侧的…,然后选择删除集群
5

单击“混合数据安全”概览页面上的设置 选项卡,然后单击“HDS状态卡”上的停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过可信的本地合作伙伴利用HDS,后者可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织设置HDS实例,并根据需要创建HDS集群。每个实例可以支持多个客户组织,而常规的HDS部署仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问由客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使小型组织能够利用HDS,因为关键管理服务和数据中心等安全基础设施由可信的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容不受外部访问(如云服务提供商)的保护。
  • 本地值得信赖的合作伙伴管理与其已建立关系的客户的加密密钥。
  • 如果由合作伙伴提供,则可选择当地技术支持。
  • 支持会议、消息传递和呼叫内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下设置和管理客户。

多租户混合数据安全的限制

  • 合作伙伴组织不得在Control Hub中激活任何现有HDS部署。
  • 希望由合作伙伴管理的租户或客户组织不得在Control Hub中部署任何现有HDS。
  • 合作伙伴部署多租户HDS后,客户组织的所有用户以及合作伙伴组织的用户开始利用多租户HDS进行加密服务。

    他们管理的合作伙伴组织和客户组织将使用相同的多租户HDS部署。

    部署多租户HDS后,合作伙伴组织将不再使用云KMS。

  • 在HDS部署后,没有将密钥转移回KMS的机制。
  • 目前,每个多租户HDS部署只能有一个集群,在其下面有多个节点。
  • 管理员角色存在某些限制;有关详细信息,请参阅下面的部分。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 -可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 -可以管理管理员配置或已分配给用户的客户设置。
  • 完全管理员 -被授权执行诸如修改组织设置、管理许可证和分配角色等任务的合作伙伴组织的管理员。
  • 所有客户组织端到端多租户HDS设置和管理 -需要合作伙伴完全管理员权限和完全管理员权限。
  • 管理已分配的租户组织 -需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合多租户混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要作出重大承诺并意识到拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级设置流程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件、建立HDS集群、向集群中添加租户组织以及管理其客户主键(CMK)。这将使客户组织的所有用户都可以使用混合数据安全集群来执行安全功能。

    设置、激活和管理阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Partner Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Partner Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全要求

Cisco Webex许可证要求

要部署多租户混合数据安全:

  • 合作伙伴组织:联系您的Cisco合作伙伴或客户经理,并确保启用多租户功能。

  • 租户组织:您必须拥有Cisco Webex Control Hub的Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017或2019(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用“多租户HDS”(多租户HDS)功能,并获得合作伙伴完全管理员权限和完全管理员权限的帐户凭证。确保您的Webex客户组织已为Cisco Webex Control Hub的Pro Pack启用。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应进行任何现有HDS部署。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

在集群中注册第一个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建并注册更多节点

完成集群设置。

9

在Partner Hub上激活多租户HDS。

在Partner Hub上激活HDS并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录到合作伙伴中心,然后单击服务

2

在“云服务”部分中,找到混合数据安全卡,然后单击设置

在合作伙伴枢纽中单击设置 对部署流程至关重要。如果未完成此步骤,请勿继续安装。

3

单击添加资源 并单击安装和配置软件 卡上的下载。OVA文件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

您也可以随时从帮助 部分下载OVA。单击设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击查看混合数据安全部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

在集群中注册第一个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,查找混合数据安全卡,然后单击设置

4

在打开的页中,单击添加资源

5

添加节点 卡的第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击屏幕底部的添加

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
9

单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

混合数据安全 页面上,包含资源 选项卡下显示的新集群。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“云服务”部分中,找到混合数据安全卡,然后单击查看全部

    将显示混合数据安全资源页面。

  3. 新创建的集群将出现在资源 页面中。

  4. 单击集群以查看分配给集群的节点。

  5. 单击屏幕右侧的添加节点

  6. 输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击添加

    会打开一个页面,其中包含一条消息,表明您可以将节点注册到Webex云中。几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

    已添加节点 弹出消息也出现在“合作伙伴中心”屏幕的底部。

    您的节点已注册。

在多租户混合数据安全上管理租户组织

在Partner Hub上激活多租户HDS

此任务确保客户组织的所有用户都可以开始利用HDS进行内部加密密钥和其他安全服务。

开始之前

确保您已完成设置多租户HDS集群所需的节点数。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击编辑设置

4

单击HDS Status 卡上的激活HDS

在Partner Hub中添加租户组织

在此任务中,您将客户组织分配给您的混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

单击要分配给客户的集群。

5

转至已分配客户 选项卡。

6

单击添加客户

7

从下拉菜单中选择要添加的客户。

8

单击添加,客户将被添加到集群中。

9

重复步骤6至8,将多个客户添加到您的群集。

10

添加客户后,单击屏幕底部的完成

下一步

按照使用HDS设置工具创建客户主键(CMK) 中的详细说明,运行HDS设置工具,以完成设置过程。

使用HDS设置工具创建客户主键(CMK)

开始之前

按照合作伙伴枢纽中添加租户组织中的详细信息,将客户分配给相应的集群。运行HDS设置工具以完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

确保连接到数据库以执行CMK管理。
11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 为所有组织创建CMK创建CMK -单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击创建CMK 为所有新添加的组织创建CMK。
  • 单击表格中特定组织待处理状态的CMK管理附近的…,然后单击创建CMK ,为该组织创建CMK。
12

成功创建CMK后,表格中的状态将从待定CMK管理 更改为CMK管理

13

如果CMK创建失败,将显示错误。

删除租户组织

开始之前

删除后,客户组织的用户将无法利用HDS满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系Cisco合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

资源 标签页上,单击要删除客户组织的集群。

5

在打开的页中,单击已分配客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ,然后单击从群集中删除

下一步

撤销从重型包装袋中删除的租户的CMK中详述,通过撤销客户组织的CMK来完成删除流程。

撤销从重型包装袋中删除的租户的CMK。

开始之前

按照删除租户组织中的详细说明从适当集群中删除客户。运行HDS设置工具以完成被删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 撤销所有组织的CMK撤销所有CMK -单击屏幕顶部横幅上的此按钮,以撤销已删除的所有组织的CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击撤销已删除的所有组织的CMK
  • 单击 表格中特定组织的CMK要被撤销 状态,然后单击Revoke CMK 以撤销该特定组织的CMK。
12

一旦CMK撤销成功,客户组织将不再出现在表中。

13

如果CMK撤销失败,将显示错误。

测试您的混合数据安全部署

测试混合数据安全部署

使用此程序测试多租户混合数据安全加密场景。

开始之前

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。作为客户组织用户之一登录Webex应用程序,然后创建空间。

如果您停用混合数据安全部署,一旦替换了客户端缓存的加密密钥副本,用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Partner Hub中的状态指示器会显示多租户混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择服务

2

在“云服务”部分中,找到“混合数据安全”并单击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击设置

4

在“混合数据安全资源”页面上,选择集群。

5

单击集群设置 选项卡。

6

在“群集设置”页上,在“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击暂停24小时将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的Partner Hub帐户的凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Partner Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到合作伙伴中心,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击要删除的节点。

  5. 单击右侧面板上的取消注册此节点

  6. 您也可以取消注册节点,方法是单击节点的右侧…,然后选择删除该节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

开始之前

按照删除节点中提到的从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新ISO文件执行下面提到的故障转移程序。
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

完成配置过程并将该ISO文件保存在易于查找的位置。

3

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

6

打开HDS节点,并确保至少15分钟没有警报。

7

在合作伙伴中心中注册节点。参考注册集群中的第一个节点

8

为待机数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次处于活动状态,取消注册待机数据中心的节点,并重复配置ISO和注册主数据中心节点的过程,如上所述。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Partner Hub会显示组织管理员警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在Partner Hub中激活HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

未针对已添加的机构完成租户组织设置

使用HDS设置工具为新添加的租户组织创建CMK来完成设置。

已删除的机构尚未完成租户组织设置

通过撤销使用HDS设置工具删除的租户组织的CMK来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

请查看“合作伙伴中心”以获取任何警报,并修复您在其中找到的任何项目。请参阅下面的图像以供参考。

2

查看混合数据安全部署中的活动的syslog服务器输出。筛选“警告”和“错误”等词语以帮助故障排除。

3

联系 Cisco 支持人员

其他注释

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Partner Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,客户组织的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

在集群中注册第一个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建并注册更多节点

完成集群设置。

9

在Partner Hub上激活多租户HDS。

在Partner Hub上激活HDS并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录到合作伙伴中心,然后单击服务

2

在“云服务”部分中,找到混合数据安全卡,然后单击设置

在合作伙伴枢纽中单击设置 对部署流程至关重要。如果未完成此步骤,请勿继续安装。

3

单击添加资源 并单击安装和配置软件 卡上的下载。OVA文件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

您也可以随时从帮助 部分下载OVA。单击设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击查看混合数据安全部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

在集群中注册第一个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,查找混合数据安全卡,然后单击设置

4

在打开的页中,单击添加资源

5

添加节点 卡的第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击屏幕底部的添加

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
9

单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

混合数据安全 页面上,包含资源 选项卡下显示的新集群。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“云服务”部分中,找到混合数据安全卡,然后单击查看全部

    将显示混合数据安全资源页面。

  3. 新创建的集群将出现在资源 页面中。

  4. 单击集群以查看分配给集群的节点。

  5. 单击屏幕右侧的添加节点

  6. 输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击添加

    会打开一个页面,其中包含一条消息,表明您可以将节点注册到Webex云中。几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

    已添加节点 弹出消息也出现在“合作伙伴中心”屏幕的底部。

    您的节点已注册。

新信息和已更改的信息

新信息和已更改的信息

此表涵盖新功能或功能、现有内容的更改以及多租户混合数据安全部署指南中修复的任何重大错误。

日期

已更改

2025年1月30日

数据库服务器要求中将SQL服务器版本2022添加到受支持的SQL服务器列表中。

2025年1月15日

增加了多租户混合数据安全的限制。

2025年1月8日

执行初始设置并下载安装文件 中添加注释,说明单击“Partner Hub”中的HDS卡上的设置 是安装流程的重要步骤。

2025年1月07日

更新了虚拟主机要求混合数据安全部署任务流程安装HDS主机OVA 以显示ESXi 7.0的新要求。

2024年12月13日

首次发布。

停用多租户混合数据安全

多租户HDS停用任务流程

按照以下步骤完全停用多租户HDS。

开始之前

此任务只能由合作伙伴的完整管理员执行。
1

删除租户组织中提到的所有客户群中删除所有客户。

2

废止所有客户的CMK,如废止从重型包装袋中删除的租户的CMK 中提到的。

3

删除所有集群中的所有节点,如删除节点中所述。

4

使用以下两种方法之一从Partner Hub中删除所有集群。

  • 单击要删除的集群,然后在概览页面右上角选择删除此集群
  • 在“资源”页面中,单击集群右侧的…,然后选择删除集群
5

单击“混合数据安全”概览页面上的设置 选项卡,然后单击“HDS状态卡”上的停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过可信的本地合作伙伴利用HDS,后者可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织设置HDS实例,并根据需要创建HDS集群。每个实例可以支持多个客户组织,而常规的HDS部署仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问由客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使小型组织能够利用HDS,因为关键管理服务和数据中心等安全基础设施由可信的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容不受外部访问(如云服务提供商)的保护。
  • 本地值得信赖的合作伙伴管理与其已建立关系的客户的加密密钥。
  • 如果由合作伙伴提供,则可选择当地技术支持。
  • 支持会议、消息传递和呼叫内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下设置和管理客户。

多租户混合数据安全的限制

  • 合作伙伴组织不得在Control Hub中激活任何现有HDS部署。
  • 希望由合作伙伴管理的租户或客户组织不得在Control Hub中部署任何现有HDS。
  • 合作伙伴部署多租户HDS后,客户组织的所有用户以及合作伙伴组织的用户开始利用多租户HDS进行加密服务。

    他们管理的合作伙伴组织和客户组织将使用相同的多租户HDS部署。

    部署多租户HDS后,合作伙伴组织将不再使用云KMS。

  • 在HDS部署后,没有将密钥转移回KMS的机制。
  • 目前,每个多租户HDS部署只能有一个集群,在其下面有多个节点。
  • 管理员角色存在某些限制;有关详细信息,请参阅下面的部分。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 -可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 -可以管理管理员配置或已分配给用户的客户设置。
  • 完全管理员 -被授权执行诸如修改组织设置、管理许可证和分配角色等任务的合作伙伴组织的管理员。
  • 所有客户组织端到端多租户HDS设置和管理 -需要合作伙伴完全管理员权限和完全管理员权限。
  • 管理已分配的租户组织 -需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合多租户混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要作出重大承诺并意识到拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级设置流程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件、建立HDS集群、向集群中添加租户组织以及管理其客户主键(CMK)。这将使客户组织的所有用户都可以使用混合数据安全集群来执行安全功能。

    设置、激活和管理阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Partner Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Partner Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全要求

Cisco Webex许可证要求

要部署多租户混合数据安全:

  • 合作伙伴组织:联系您的Cisco合作伙伴或客户经理,并确保启用多租户功能。

  • 租户组织:您必须拥有Cisco Webex Control Hub的Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017、2019或2022(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用“多租户HDS”(多租户HDS)功能,并获得合作伙伴完全管理员权限和完全管理员权限的帐户凭证。确保您的Webex客户组织已为Cisco Webex Control Hub的Pro Pack启用。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应进行任何现有HDS部署。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

在多租户混合数据安全上管理租户组织

在Partner Hub上激活多租户HDS

此任务确保客户组织的所有用户都可以开始利用HDS进行内部加密密钥和其他安全服务。

开始之前

确保您已完成设置多租户HDS集群所需的节点数。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击编辑设置

4

单击HDS Status 卡上的激活HDS

在Partner Hub中添加租户组织

在此任务中,您将客户组织分配给您的混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

单击要分配给客户的集群。

5

转至已分配客户 选项卡。

6

单击添加客户

7

从下拉菜单中选择要添加的客户。

8

单击添加,客户将被添加到集群中。

9

重复步骤6至8,将多个客户添加到您的群集。

10

添加客户后,单击屏幕底部的完成

下一步

按照使用HDS设置工具创建客户主键(CMK) 中的详细说明,运行HDS设置工具,以完成设置过程。

使用HDS设置工具创建客户主键(CMK)

开始之前

按照合作伙伴枢纽中添加租户组织中的详细信息,将客户分配给相应的集群。运行HDS设置工具以完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

确保连接到数据库以执行CMK管理。
11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 为所有组织创建CMK创建CMK -单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击创建CMK 为所有新添加的组织创建CMK。
  • 单击表格中特定组织待处理状态的CMK管理附近的…,然后单击创建CMK ,为该组织创建CMK。
12

成功创建CMK后,表格中的状态将从待定CMK管理 更改为CMK管理

13

如果CMK创建失败,将显示错误。

删除租户组织

开始之前

删除后,客户组织的用户将无法利用HDS满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系Cisco合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

资源 标签页上,单击要删除客户组织的集群。

5

在打开的页中,单击已分配客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ,然后单击从群集中删除

下一步

撤销从重型包装袋中删除的租户的CMK中详述,通过撤销客户组织的CMK来完成删除流程。

撤销从重型包装袋中删除的租户的CMK。

开始之前

按照删除租户组织中的详细说明从适当集群中删除客户。运行HDS设置工具以完成被删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 撤销所有组织的CMK撤销所有CMK -单击屏幕顶部横幅上的此按钮,以撤销已删除的所有组织的CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击撤销已删除的所有组织的CMK
  • 单击 表格中特定组织的CMK要被撤销 状态,然后单击Revoke CMK 以撤销该特定组织的CMK。
12

一旦CMK撤销成功,客户组织将不再出现在表中。

13

如果CMK撤销失败,将显示错误。

测试您的混合数据安全部署

测试混合数据安全部署

使用此程序测试多租户混合数据安全加密场景。

开始之前

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。作为客户组织用户之一登录Webex应用程序,然后创建空间。

如果您停用混合数据安全部署,一旦替换了客户端缓存的加密密钥副本,用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Partner Hub中的状态指示器会显示多租户混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择服务

2

在“云服务”部分中,找到“混合数据安全”并单击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击设置

4

在“混合数据安全资源”页面上,选择集群。

5

单击集群设置 选项卡。

6

在“群集设置”页上,在“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击暂停24小时将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的Partner Hub帐户的凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Partner Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到合作伙伴中心,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击要删除的节点。

  5. 单击右侧面板上的取消注册此节点

  6. 您也可以取消注册节点,方法是单击节点的右侧…,然后选择删除该节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

开始之前

按照删除节点中提到的从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新ISO文件执行下面提到的故障转移程序。
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

完成配置过程并将该ISO文件保存在易于查找的位置。

3

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

6

打开HDS节点,并确保至少15分钟没有警报。

7

在合作伙伴中心中注册节点。参考注册集群中的第一个节点

8

为待机数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次处于活动状态,取消注册待机数据中心的节点,并重复配置ISO和注册主数据中心节点的过程,如上所述。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Partner Hub会显示组织管理员警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在Partner Hub中激活HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

未针对已添加的机构完成租户组织设置

使用HDS设置工具为新添加的租户组织创建CMK来完成设置。

已删除的机构尚未完成租户组织设置

通过撤销使用HDS设置工具删除的租户组织的CMK来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

请查看“合作伙伴中心”以获取任何警报,并修复您在其中找到的任何项目。请参阅下面的图像以供参考。

2

查看混合数据安全部署中的活动的syslog服务器输出。筛选“警告”和“错误”等词语以帮助故障排除。

3

联系 Cisco 支持人员

其他注释

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Partner Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,客户组织的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

新信息和已更改的信息

新信息和已更改的信息

此表涵盖新功能或功能、现有内容的更改以及多租户混合数据安全部署指南中修复的任何重大错误。

日期

已更改

2025年1月30日

数据库服务器要求中将SQL服务器版本2022添加到受支持的SQL服务器列表中。

2025年1月15日

增加了多租户混合数据安全的限制。

2025年1月8日

执行初始设置并下载安装文件 中添加注释,说明单击“Partner Hub”中的HDS卡上的设置 是安装流程的重要步骤。

2025年1月07日

更新了虚拟主机要求混合数据安全部署任务流程安装HDS主机OVA 以显示ESXi 7.0的新要求。

2024年12月13日

首次发布。

停用多租户混合数据安全

多租户HDS停用任务流程

按照以下步骤完全停用多租户HDS。

开始之前

此任务只能由合作伙伴的完整管理员执行。
1

删除租户组织中提到的所有客户群中删除所有客户。

2

废止所有客户的CMK,如废止从重型包装袋中删除的租户的CMK 中提到的。

3

删除所有集群中的所有节点,如删除节点中所述。

4

使用以下两种方法之一从Partner Hub中删除所有集群。

  • 单击要删除的集群,然后在概览页面右上角选择删除此集群
  • 在“资源”页面中,单击集群右侧的…,然后选择删除集群
5

单击“混合数据安全”概览页面上的设置 选项卡,然后单击“HDS状态卡”上的停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过可信的本地合作伙伴利用HDS,后者可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织设置HDS实例,并根据需要创建HDS集群。每个实例可以支持多个客户组织,而常规的HDS部署仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问由客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使小型组织能够利用HDS,因为关键管理服务和数据中心等安全基础设施由可信的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容不受外部访问(如云服务提供商)的保护。
  • 本地值得信赖的合作伙伴管理与其已建立关系的客户的加密密钥。
  • 如果由合作伙伴提供,则可选择当地技术支持。
  • 支持会议、消息传递和呼叫内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下设置和管理客户。

多租户混合数据安全的限制

  • 合作伙伴组织不得在Control Hub中激活任何现有HDS部署。
  • 希望由合作伙伴管理的租户或客户组织不得在Control Hub中部署任何现有HDS。
  • 合作伙伴部署多租户HDS后,客户组织的所有用户以及合作伙伴组织的用户开始利用多租户HDS进行加密服务。

    他们管理的合作伙伴组织和客户组织将使用相同的多租户HDS部署。

    部署多租户HDS后,合作伙伴组织将不再使用云KMS。

  • 在HDS部署后,没有将密钥转移回KMS的机制。
  • 目前,每个多租户HDS部署只能有一个集群,在其下面有多个节点。
  • 管理员角色存在某些限制;有关详细信息,请参阅下面的部分。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 -可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 -可以管理管理员配置或已分配给用户的客户设置。
  • 完全管理员 -被授权执行诸如修改组织设置、管理许可证和分配角色等任务的合作伙伴组织的管理员。
  • 所有客户组织端到端多租户HDS设置和管理 -需要合作伙伴完全管理员权限和完全管理员权限。
  • 管理已分配的租户组织 -需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合多租户混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要作出重大承诺并意识到拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级设置流程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件、建立HDS集群、向集群中添加租户组织以及管理其客户主键(CMK)。这将使客户组织的所有用户都可以使用混合数据安全集群来执行安全功能。

    设置、激活和管理阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Partner Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Partner Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全要求

Cisco Webex许可证要求

要部署多租户混合数据安全:

  • 合作伙伴组织:联系您的Cisco合作伙伴或客户经理,并确保启用多租户功能。

  • 租户组织:您必须拥有Cisco Webex Control Hub的Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。建议使用一个可标识组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的昵称可以标记证书、私有密钥以及任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017、2019或2022(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果发生此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量即可解决。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用“多租户HDS”(多租户HDS)功能,并获得合作伙伴完全管理员权限和完全管理员权限的帐户凭证。确保您的Webex客户组织已为Cisco Webex Control Hub的Pro Pack启用。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应进行任何现有HDS部署。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

在集群中注册第一个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建并注册更多节点

完成集群设置。

9

在Partner Hub上激活多租户HDS。

在Partner Hub上激活HDS并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录到合作伙伴中心,然后单击服务

2

在“云服务”部分中,找到混合数据安全卡,然后单击设置

在合作伙伴枢纽中单击设置 对部署流程至关重要。如果未完成此步骤,请勿继续安装。

3

单击添加资源 并单击安装和配置软件 卡上的下载。OVA文件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

您也可以随时从帮助 部分下载OVA。单击设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击查看混合数据安全部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在用户名 字段中以username@domain 格式的Windows帐户。

  3. 格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以 dbhost.example.org:1433 格式输入完全符合条件的域名

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示已在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_max大小:10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名:管理员

  2. 密码:cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD 驱动器 1,选择从数据存储 ISO 文件进行装载的选项,然后浏览至配置 ISO 文件的上传位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS 节点 IP 或 FQDN]/setup,输入您为节点设置的管理员凭证,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

在集群中注册第一个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,查找混合数据安全卡,然后单击设置

4

在打开的页中,单击添加资源

5

添加节点 卡的第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击屏幕底部的添加

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
9

单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

混合数据安全 页面上,包含资源 选项卡下显示的新集群。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“云服务”部分中,找到混合数据安全卡,然后单击查看全部

    将显示混合数据安全资源页面。

  3. 新创建的集群将出现在资源 页面中。

  4. 单击集群以查看分配给集群的节点。

  5. 单击屏幕右侧的添加节点

  6. 输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击添加

    会打开一个页面,其中包含一条消息,表明您可以将节点注册到Webex云中。几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

    已添加节点 弹出消息也出现在“合作伙伴中心”屏幕的底部。

    您的节点已注册。

在多租户混合数据安全上管理租户组织

在Partner Hub上激活多租户HDS

此任务确保客户组织的所有用户都可以开始利用HDS进行内部加密密钥和其他安全服务。

开始之前

确保您已完成设置多租户HDS集群所需的节点数。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击编辑设置

4

单击HDS Status 卡上的激活HDS

在Partner Hub中添加租户组织

在此任务中,您将客户组织分配给您的混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

单击要分配给客户的集群。

5

转至已分配客户 选项卡。

6

单击添加客户

7

从下拉菜单中选择要添加的客户。

8

单击添加,客户将被添加到集群中。

9

重复步骤6至8,将多个客户添加到您的群集。

10

添加客户后,单击屏幕底部的完成

下一步

按照使用HDS设置工具创建客户主键(CMK) 中的详细说明,运行HDS设置工具,以完成设置过程。

使用HDS设置工具创建客户主键(CMK)

开始之前

按照合作伙伴枢纽中添加租户组织中的详细信息,将客户分配给相应的集群。运行HDS设置工具以完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

确保连接到数据库以执行CMK管理。
11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 为所有组织创建CMK创建CMK -单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击创建CMK 为所有新添加的组织创建CMK。
  • 单击表格中特定组织待处理状态的CMK管理附近的…,然后单击创建CMK ,为该组织创建CMK。
12

成功创建CMK后,表格中的状态将从待定CMK管理 更改为CMK管理

13

如果CMK创建失败,将显示错误。

删除租户组织

开始之前

删除后,客户组织的用户将无法利用HDS满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系Cisco合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

资源 标签页上,单击要删除客户组织的集群。

5

在打开的页中,单击已分配客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ,然后单击从群集中删除

下一步

撤销从重型包装袋中删除的租户的CMK中详述,通过撤销客户组织的CMK来完成删除流程。

撤销从重型包装袋中删除的租户的CMK。

开始之前

按照删除租户组织中的详细说明从适当集群中删除客户。运行HDS设置工具以完成被删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:稳定

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker登录-u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

  • 在有 HTTP 代理的常规环境中:

    docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 撤销所有组织的CMK撤销所有CMK -单击屏幕顶部横幅上的此按钮,以撤销已删除的所有组织的CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击撤销已删除的所有组织的CMK
  • 单击 表格中特定组织的CMK要被撤销 状态,然后单击Revoke CMK 以撤销该特定组织的CMK。
12

一旦CMK撤销成功,客户组织将不再出现在表中。

13

如果CMK撤销失败,将显示错误。

测试您的混合数据安全部署

测试混合数据安全部署

使用此程序测试多租户混合数据安全加密场景。

开始之前

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。作为客户组织用户之一登录Webex应用程序,然后创建空间。

如果您停用混合数据安全部署,一旦替换了客户端缓存的加密密钥副本,用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查用户是否先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000)信息KMS [pool-14-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=ephemeral_key_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查从KMS请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000)信息KMS [POOL-14-THREAD-31] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0,kms.data.method=检索,kms.merc.id=c[~]7,kms.merc.sync=false,kms.data.uriHost=ciscospark.com,kms.data.type=KEY,kms.data.requestId=9[~]3,kms.data.uri=kms://ciscospark.com/keys/d[~]2,kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000)信息KMS [pool-14-thread-33] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0,kms.data.method=create,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=null,kms.data.type=key_COLLECTION,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION 上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:22.808 (+0000)信息KMS [pool-15-thread-1] - [KMS:REQUEST]已收到,deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=资源_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Partner Hub中的状态指示器会显示多租户混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择服务

2

在“云服务”部分中,找到“混合数据安全”并单击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击设置

4

在“混合数据安全资源”页面上,选择集群。

5

单击集群设置 选项卡。

6

在“群集设置”页上,在“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击暂停24小时将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的Partner Hub帐户的凭证。

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=http://服务器_IP:PORT

    无身份验证的 HTTPS 代理

    全局_代理_HTTPS_PROXY=http://服务器_IP:PORT

    有身份验证的 HTTP 代理

    全局_代理_HTTP_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    全球_代理_HTTPS_PROXY=HTTP://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:稳定

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker登录-u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker运行-p 8080:8080 --rm -it ciscocitg/hds-setup:稳定

    • 在有 HTTP 代理的常规环境中:

      docker运行-p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e全局_代理_https_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Partner Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请输入 CTRL+C

  10. 在其他数据中心创建更新后的文件的备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  3. 单击 CD/DVD 驱动器 1,选择从 ISO 文件进行装载的选项,然后浏览至新配置 ISO 文件的下载位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到合作伙伴中心,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击要删除的节点。

  5. 单击右侧面板上的取消注册此节点

  6. 您也可以取消注册节点,方法是单击节点的右侧…,然后选择删除该节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

开始之前

按照删除节点中提到的从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新ISO文件执行下面提到的故障转移程序。
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

完成配置过程并将该ISO文件保存在易于查找的位置。

3

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

6

打开HDS节点,并确保至少15分钟没有警报。

7

在合作伙伴中心中注册节点。参考注册集群中的第一个节点

8

为待机数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次处于活动状态,取消注册待机数据中心的节点,并重复配置ISO和注册主数据中心节点的过程,如上所述。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Partner Hub会显示组织管理员警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在Partner Hub中激活HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

未针对已添加的机构完成租户组织设置

使用HDS设置工具为新添加的租户组织创建CMK来完成设置。

已删除的机构尚未完成租户组织设置

通过撤销使用HDS设置工具删除的租户组织的CMK来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

请查看“合作伙伴中心”以获取任何警报,并修复您在其中找到的任何项目。请参阅下面的图像以供参考。

2

查看混合数据安全部署中的活动的syslog服务器输出。筛选“警告”和“错误”等词语以帮助故障排除。

3

联系 Cisco 支持人员

其他注释

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Partner Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,客户组织的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

从 CA 接收到服务器证书后,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

------------------------###服务器证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###中级CA证书。 ### ------------------------------------------------------------------------------------------------------------------------------------------------ ###根证书。 ### -----最终证书--------

4

创建昵称为 kms-private-key 的 .p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,确认私有密钥和第一个证书中是否包含 friendlyName: kms-private-key 行。

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34关键属性: 输入PEM密码短语:Verifying - Enter PEM pass phrase: -----开始加密的私钥-----  ------结束加密的私钥------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------friendly姓名:kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------开始证书------ ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----------------------------------------------------------

下一步

返回完成混合数据安全的先决条件。您将使用hdsnode.p12 文件以及您为此设置的密码,在为HDS主持人创建配置ISO

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的Websocket (wss:)连接的建立。这些章节将指导如何把各种版本的 Squid 配置成忽略 wss: 流量,以便服务正常运行。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf中:

on_unsupported_protocol 隧道全部

Squid 3.5.27

我们将以下规则添加到 squid.conf,成功地测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex 汞连接ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1ssl_bump stare step2ssl_bump bump step3

新信息和已更改的信息

新信息和已更改的信息

此表涵盖新功能或功能、现有内容的更改以及多租户混合数据安全部署指南中修复的任何重大错误。

日期

已更改

2025年3月4日

2025年1月30日

数据库服务器要求中将SQL服务器版本2022添加到受支持的SQL服务器列表中。

2025年1月15日

已添加多租户混合数据安全的限制

2025年1月8日

执行初始设置并下载安装文件 中添加注释,说明单击“Partner Hub”中的HDS卡上的设置 是安装流程的重要步骤。

2025年1月07日

更新了虚拟主机要求混合数据安全部署任务流程安装HDS主机OVA 以显示ESXi 7.0的新要求。

2024年12月13日

首次发布。

停用多租户混合数据安全

多租户HDS停用任务流程

按照以下步骤完全停用多租户HDS。

开始之前

此任务只能由合作伙伴的完整管理员执行。
1

删除租户组织中提到的所有客户群中删除所有客户。

2

废止所有客户的CMK,如废止从重型包装袋中删除的租户的CMK 中提到的。

3

删除所有集群中的所有节点,如删除节点中所述。

4

使用以下两种方法之一从Partner Hub中删除所有集群。

  • 单击要删除的集群,然后在概览页面右上角选择删除此集群
  • 在“资源”页面中,单击集群右侧的…,然后选择删除集群
5

单击“混合数据安全”概览页面上的设置 选项卡,然后单击“HDS状态卡”上的停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全一直是设计Webex应用程序的主要重点。此安全性的基石是端到端内容加密,由与密钥管理服务(KMS)交互的Webex应用程序客户端启用。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有Webex应用程序客户都会使用存储在Cisco安全领域中的动态密钥的端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过可信的本地合作伙伴利用HDS,后者可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织设置HDS实例,并根据需要创建HDS集群。每个实例可以支持多个客户组织,而常规的HDS部署仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问由客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使小型组织能够利用HDS,因为关键管理服务和数据中心等安全基础设施由可信的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容不受外部访问(如云服务提供商)的保护。
  • 本地值得信赖的合作伙伴管理与其已建立关系的客户的加密密钥。
  • 如果由合作伙伴提供,则可选择当地技术支持。
  • 支持会议、消息传递和呼叫内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下设置和管理客户。

多租户混合数据安全的限制

  • 合作伙伴组织不得在Control Hub中激活任何现有HDS部署。
  • 希望由合作伙伴管理的租户或客户组织不得在Control Hub中部署任何现有HDS。
  • 合作伙伴部署多租户HDS后,客户组织的所有用户以及合作伙伴组织的用户开始利用多租户HDS进行加密服务。

    他们管理的合作伙伴组织和客户组织将使用相同的多租户HDS部署。

    部署多租户HDS后,合作伙伴组织将不再使用云KMS。

  • 在HDS部署后,没有将密钥转移回KMS的机制。
  • 目前,每个多租户HDS部署只能有一个集群,在其下面有多个节点。
  • 管理员角色存在某些限制;有关详细信息,请参阅下面的部分。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 -可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 -可以管理管理员配置或已分配给用户的客户设置。
  • 完全管理员 -被授权执行诸如修改组织设置、管理许可证和分配角色等任务的合作伙伴组织的管理员。
  • 所有客户组织端到端多租户HDS设置和管理 -需要合作伙伴完全管理员权限和完全管理员权限。
  • 管理已分配的租户组织 -需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex云架构将不同类型的服务分为不同的领域或信任域,如下所示。

分离领域(不包括混合数据安全)

要进一步了解Hybrid Data Security,我们首先来看这个纯云案例,Cisco在其云领域提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是用户笔记本电脑上运行的Webex应用程序,并已通过身份服务进行验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,将安全领域功能(KMS、索引和合规性)移至您的内部数据中心。构成Webex的其他云服务(包括身份和内容存储)仍在Cisco的领域中。

与其他组织的协作

您组织中的用户可以定期使用Webex应用程序与其他组织中的外部参与者协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当其他组织拥有空间的密钥时,您的KMS通过单独的ECDH通道将请求发送到WEBEX云,从适当的KMS获取密钥,然后将密钥返回到原始通道上的用户。

在Org A上运行的KMS服务使用X.509 PKI证书验证与其他组织中的KMS的连接。有关生成x.509证书以配合多租户混合数据安全部署的详细信息,请参阅准备环境

部署混合数据安全的期望

混合数据安全部署需要作出重大承诺并意识到拥有加密密钥所带来的风险。

要部署混合数据安全,您必须提供:

完全丢失为混合数据安全构建的配置ISO或您提供的数据库,将导致密钥丢失。密钥丢失可防止用户在Webex应用程序中解密空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 准备在发生灾难时执行快速灾难恢复,例如数据库磁盘故障或数据中心灾难。

在HDS部署后,没有将密钥移回云的机制。

高级设置流程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全—这包括准备所需的基础架构和安装混合数据安全软件、建立HDS集群、向集群中添加租户组织以及管理其客户主键(CMK)。这将使客户组织的所有用户都可以使用混合数据安全集群来执行安全功能。

    设置、激活和管理阶段将在接下来的三章中详细介绍。

  • 保持混合数据安全部署—Webex云会自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在Partner Hub中使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题—如果您在部署或使用混合数据安全时遇到问题,本指南的最后一章和“已知问题”附录可以帮助您确定和修复问题。

混合数据安全部署模式

在企业数据中心中,您将混合数据安全作为单独的虚拟主机的单个节点集群部署。节点通过安全Web套接头和安全HTTP与Webex云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的Syslogd服务器和PostgreSQL或Microsoft SQL Server数据库。(您在HDS设置工具中配置Syslogd和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少三个。拥有多个节点可确保服务在软件升级或节点上的其他维护活动期间不会中断。(Webex云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

在Partner Hub中注册节点时,节点将处于活动状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复待机数据中心

部署期间,您设置安全备用数据中心。如果发生数据中心灾难,您可以手动将部署到待机数据中心失败。

在故障转移之前,Data Center A具有活动的HDS节点和主要PostgreSQL或Microsoft SQL Server数据库,而B则拥有带有附加配置的ISO文件的副本、在组织中注册的VM以及待机数据库。故障转移后,Data Center B具有活动的HDS节点和主要数据库,而A具有未注册虚拟机和ISO文件的副本,并且数据库处于待机模式。
手动故障转移至待机数据中心

活动数据中心和待机数据中心的数据库相互同步,从而将执行故障转移所需的时间降至最低。

活动中的混合数据安全节点必须始终与活动数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理—如果您不使用HDS节点设置Trust Store & Proxy配置以集成代理,则默认设置。无需证书更新。

  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,不应要求任何更改才能使用非检查代理。无需证书更新。

  • 透明隧道或检查代理—节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理—通过显式代理,您可以告诉HDS节点使用哪些代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—根据代理服务器支持的内容,选择以下协议:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全要求

Cisco Webex许可证要求

要部署多租户混合数据安全:

  • 合作伙伴组织:联系您的Cisco合作伙伴或客户经理,并确保启用多租户功能。

  • 租户组织:您必须拥有Cisco Webex Control Hub的Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker桌面要求

安装HDS节点之前,需要Docker Desktop才能运行安装程序。Docker最近更新了他们的许可模型。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

没有Docker Desktop许可证的客户可以使用开源容器管理工具(如Podman Desktop)来运行、管理和创建容器。有关详细信息,请参阅使用Podman桌面运行HDS设置工具

X.509 证书要求

证书链必须满足以下要求:

表1。 混合数据安全部署的X.509证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs 上的Mozilla列表(WoSign和StartCom除外)中的CA。

  • 具有用于标识您的混合数据安全部署的通用名称(CN)域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。我们建议您使用反映您组织的名称,例如 hds.company.com

CN不能包含*(通配符)。

CN用于向Webex应用程序客户端验证混合数据安全节点。群集中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用kms-private-key 友好名称标记要上传的证书、私钥和任何中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主持人要求

您将设置为集群中的混合数据安全节点的虚拟主机具有以下要求:

  • 在同一安全数据中心中共同放置至少两个独立的主机(推荐3个)

  • 安装并运行VMware ESXi 7.0(或更高版本)。

    如果您拥有较早版本的ESXi,则必须升级。

  • 最低4个vCPU、8 GB主内存、30 GB本地硬盘空间

数据库服务器要求

为密钥存储创建新的数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每项要求如下:

表 2. 按数据库类型分列的数据库服务器要求

PostgreSQL

微软SQL服务器

  • 已安装并运行PostgreSQL 14、15或16。

  • 已安装SQL Server 2016、2017、2019或2022(企业或标准)。

    SQL Server 2016需要Service Pack 2和累积更新2或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS软件目前正在安装以下驱动程序版本,以便与数据库服务器通信:

PostgreSQL

微软SQL服务器

Postgres JDBC驱动程序42.2.5

SQL Server JDBC驱动程序4.6

此驱动版本支持SQL Server Always On(始终在故障转移集群实例始终在可用性组)。

针对Microsoft SQL Server的Windows身份验证附加要求

如果您希望HDS节点使用Windows身份验证来访问Microsoft SQL Server上的密钥库数据库,则您需要在环境中执行以下配置:

  • HDS节点、Active Directory基础架构和MS SQL Server都必须与NTP同步。

  • 您向HDS节点提供的Windows帐户必须具有对数据库的读/写访问权限。

  • 您向HDS节点提供的DNS服务器必须能够解决您的密钥分发中心(KDC)。

  • 您可以在您的Microsoft SQL Server上将HDS数据库实例注册为Active Directory上的服务主名(SPN)。请参阅注册Kerberos连接的服务主名

    HDS设置工具、HDS启动器和本地KMS都需要使用Windows身份验证来访问密钥存储数据库。在请求使用Kerberos身份验证访问时,他们使用ISO配置中的详细信息构建SPN。

外部连接要求

配置您的防火墙,以允许HDS应用程序的以下连接:

应用程序

协议

端口

应用程序的方向

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有共同身份主持人

  • Webex Services的网络要求中针对混合数据安全列出的其他URL

HDS设置工具

TCP

443

出站HTTPS

  • *.wbx2.com

  • 所有共同身份主持人

  • hub.docker.com

混合数据安全节点可与网络访问转换(NAT)或防火墙后工作,前提是NAT或防火墙允许与上表中域目的地所需的出站连接。对于连接到混合数据安全节点的连接,不应从互联网上看到任何端口。在您的数据中心中,客户端需要访问TCP端口443和22上的混合数据安全节点,用于管理目的。

共同身份(CI)主持人的URL是特定于区域的。以下为当前CI主持人:

地区

通用标识主持人URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查HTTPS流量的Squid代理可能会干扰Websocket (wss:)连接的建立。要解决此问题,请参阅为混合数据安全配置Squid代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果出现此问题,绕过(不检查)流量至wbx2.comciscospark.com 将解决问题。

满足混合数据安全的先决条件

使用此检查表确保已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用“多租户HDS”(多租户HDS)功能,并通过合作伙伴完全管理员权限获得帐户的凭证。确保您的Webex客户组织已为Cisco Webex Control Hub的Pro Pack启用。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应进行任何现有HDS部署。

2

选择用于HDS部署的域名(例如 hds.company.com)并获取包含X.509证书、私钥和任何中间证书的证书链。证书链必须符合 X.509证书要求中的要求。

3

准备将设置为群集中的混合数据安全节点的相同的虚拟主机。您需要在同一安全数据中心中共同放置至少两个独立的主机(推荐3个主机),这些主机符合虚拟主机要求中的要求。

4

根据数据库服务器要求准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须在安全数据中心与虚拟主持人共同安置。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库-请勿使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

对于快速灾难恢复,请在不同的数据中心中设置备份环境。备份环境反映了VM的生产环境和备份数据库服务器。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主持人创建安全备份策略。至少,为了防止不可恢复的数据丢失,您必须备份为混合数据安全节点生成的数据库和配置ISO文件。

由于混合数据安全节点存储用于加密和解密内容的密钥,因此未能维护操作部署将导致该内容的不可恢复的丢失

Webex应用程序客户端会缓存其密钥,因此故障可能不会立即显现,但随着时间的推移会变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的操作员应经常备份数据库和配置ISO文件,并准备在发生灾难性的故障时重构混合数据安全数据中心。

8

确保防火墙配置允许外部连接要求中的混合数据安全节点的连接。

9

在运行受支持的操作系统(Microsoft Windows 10 Professional或Enterprise 64位或Mac OSX Yosemite 10.10.3或更高版本)的任何本地计算机上安装Docker ( https://www.docker.com),并通过Web浏览器访问 http://127.0.0.1:8080.

您可以使用Docker实例下载并运行HDS设置工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要Docker桌面许可证。有关详细信息,请参阅 Docker桌面要求

要安装和运行HDS设置工具,本地机器必须具有外部连接要求中列出的连接。

10

如果您正在将代理与混合数据安全集成,请确保其符合代理服务器要求

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将OVA文件下载到本地计算机以备以后使用。

2

为 HDS 主机创建配置 ISO

使用HDS设置工具为混合数据安全节点创建ISO配置文件。

3

安装 HDS 主机 OVA

从OVA文件创建虚拟机,并执行初始配置,例如网络设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

4

设置混合数据安全 VM

登录VM控制台并设置登录凭据。如果在OVA部署时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

从使用HDS设置工具创建的ISO配置文件中配置VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定为节点使用的代理类型,并在需要时将代理证书添加到信任存储。

7

在集群中注册第一个节点

使用Cisco Webex云将VM注册为混合数据安全节点。

8

创建并注册更多节点

完成集群设置。

9

在Partner Hub上激活多租户HDS。

在Partner Hub上激活HDS并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将将OVA文件下载到您的计算机(而不是设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录到合作伙伴中心,然后单击服务

2

在“云服务”部分中,找到混合数据安全卡,然后单击设置

在合作伙伴枢纽中单击设置 对部署流程至关重要。如果未完成此步骤,请勿继续安装。

3

单击添加资源 并单击安装和配置软件 卡上的下载。OVA文件

软件包(OVA)的旧版本与最新混合数据安全升级不兼容。升级应用程序时可能会出现问题。确保下载最新版本的OVA文件。

您也可以随时从帮助 部分下载OVA。单击设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击查看混合数据安全部署指南 以检查是否有此指南的更高版本。

为 HDS 主机创建配置 ISO

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,您有以下选项:

  • —如果您正在创建第一个HDS节点,则没有要上传ISO文件。
  • —如果您已经创建HDS节点,请在浏览中选择ISO文件并上传。
10

检查您的X.509证书是否符合 X.509证书要求中的要求。

  • 如果您以前从未上传过证书,请上传X.509证书,输入密码,然后单击继续
  • 如果证书正常,请单击继续
  • 如果您的证书已过期或要更换,请选择继续使用以前的ISO的HDS证书链和私钥?。上传新的X.509证书,输入密码,然后单击继续
11

输入HDS的数据库地址和帐户以访问您的密钥数据管理员:

  1. 选择您的数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得身份验证类型字段。

  2. 仅限Microsoft SQL Server )选择您的身份验证类型

    • 基本身份验证:您需要在用户名 字段中提供本地SQL Server帐户名称。

    • Windows身份验证:您需要在username@DOMAIN 用户名 字段中设置格式的Windows帐户。

  3. ::格式输入数据库服务器地址。

    示例:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点不能使用DNS来解析主机名,则可以使用IP地址进行基本身份验证。

    如果您使用Windows身份验证,则必须以格式输入完全符合条件的域名 dbhost.example.org:1433

  4. 输入数据库名称

  5. 输入具有密钥存储数据库中所有权限的用户的用户名密码

12

选择 TLS数据库连接模式

模式

描述

更喜欢TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果您在数据库服务器上启用TLS,节点将尝试加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于SQL Server数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立TLS连接后,节点将数据库服务器的证书签名者与数据库根证书中的证书授权进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击继续时,HDS设置工具将测试到数据库服务器的TLS连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接性差异,HDS节点可能能够建立TLS连接,即使HDS设置工具机器无法成功测试。)

13

在“系统日志”页面上,配置Syslogd服务器:

  1. 输入系统日志服务器URL。

    如果服务器无法从您的HDS集群的节点中解析DNS,请使用URL中的IP地址。

    示例:
    udp://10.92.43.23:514 表示在UDP端口514上登录到Syslogd主持人10.92.43.23。

  2. 如果您将服务器设置为使用TLS加密,请检查您的系统日志服务器是否配置为SSL加密?

    如果选中此复选框,请确保输入TCP URL,例如 tcp://10.92.43.23:514

  3. 选择系统日志记录终端 下拉菜单中,为您的ISO文件选择适当的设置:选择或Newline用于Graylog和Rsyslog TCP

    • 空字节-- \x00

    • Newline --\n—为Graylog和Rsyslog TCP选择此选项。

  4. 单击继续

14

(可选)您可以在高级设置中更改某些数据库连接参数的默认值。通常,此参数是您唯一要更改的参数:

app_datasource_connection_pool_maxSize: 10
15

单击重设服务帐户密码 屏幕上的继续

服务帐户密码有9个月的使用寿命。当密码即将过期或您希望重置密码以验证以前的ISO文件时,使用此屏幕。

16

单击下载 ISO 文件。将文件保存到易于查找的位置。

17

在本地系统上备份ISO文件。

确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

18

要关闭“设置”工具,请输入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多用于恢复的节点,或进行配置更改。如果您丢失了ISO文件的所有副本,您也丢失了主键。无法从PostgreSQL或Microsoft SQL Server数据库中恢复密钥。

我们从未有此密钥的副本,如果您丢失了该密钥,则无能为力。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您先前下载的OVA文件的位置,然后单击下一步

4

选择名称和文件夹 页面上,为节点输入虚拟机名称 (例如“HDS_Node_1”),选择虚拟机节点部署可居住的位置,然后单击下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击下一步

7

如果您被要求在配置 页面上选择资源配置,请单击4 CPU ,然后单击下一步

8

选择存储 页面上,单击下一步 以接受默认磁盘格式和VM存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,提供与VM所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名—为节点输入FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 要确保成功注册到云,请仅使用为节点设置的FQDN或主机名中的小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP地址—输入节点内部接口的IP地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

  • 掩码—在十进制符号中输入子网掩码地址。例如,255.255.255.0
  • 网关—输入网关IP地址。网关是一个网络节点,作为另一个网络的接入点。
  • DNS服务器—输入一个以逗号分隔的DNS服务器列表,该列表处理将域名转换为数字IP地址。(最多允许4个DNS条目。)
  • NTP服务器—输入组织的NTP服务器或组织中可用的其他外部NTP服务器。默认NTP服务器可能不适用于所有企业。您还可以使用逗号分隔列表输入多个NTP服务器。

  • 在同一子网或VLAN上部署所有节点,以便群集中的所有节点都可以从网络中的客户端进行管理访问。

如果首选,您可以跳过网络设置配置,并按照设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

在OVA部署期间配置网络设置的选项已通过ESXi 7.0进行了测试。此选项可能在早期版本中不可用。

11

右键单击节点VM,然后选择Power > Power On

混合数据安全软件在VM主机上以访客身份安装。您现在可以登录到控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此步骤首次登录混合数据安全节点VM控制台,并设置登录凭据。如果在OVA部署时未配置节点的网络设置,您也可以使用控制台配置节点的网络设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已在安装HDS主机OVA中配置了网络设置,请跳过此程序的其余部分。否则,在主菜单中选择编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

开始之前

由于ISO文件拥有主密钥,因此它只能在“需要知道”的基础上被曝光,以便混合数据安全VM和可能需要更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1,选择从数据存储ISO文件中安装的选项,然后浏览到上传配置ISO文件的位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果IT策略需要,您可以在所有节点获取配置更改后卸载ISO文件。有关详细信息,请参阅(可选)在HDS配置后卸载ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

开始之前

1

在Web浏览器中输入HDS节点设置URLhttps://[HDS Node IP or FQDN]/setup ,输入为节点设置的管理员凭据,然后单击登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理-集成代理前的默认选项。无需证书更新。
  • 透明非检查代理—节点未配置为使用特定的代理服务器地址,并且不应要求任何更改才能使用非检查代理。无需证书更新。
  • 透明检查代理—节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理—使用显式代理,告诉客户端(HDS节点)要使用的代理服务器,此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理IP/FQDN—可用于到达代理计算机的地址。

    2. 代理端口—代理用于侦听代理流量的端口号。

    3. 代理协议—选择 http (查看并控制从客户端收到的所有请求)或 https (向服务器提供通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型—从以下身份验证类型中选择:

      • -无需进一步验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本—用于HTTP用户代理在提出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • 文摘—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成这些步骤,然后查看关闭受阻的外部DNS解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

在集群中注册第一个节点

此任务将采用您在设置混合数据安全虚拟机中创建的通用节点,使用Webex云注册该节点,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,查找混合数据安全卡,然后单击设置

4

在打开的页中,单击添加资源

5

添加节点 卡的第一个字段中,输入要分配给混合数据安全节点的集群的名称。

建议您基于集群节点的地理位置来命名该集群。示例:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击屏幕底部的添加

此IP地址或FQDN应匹配您在设置混合数据安全虚拟机中使用的IP地址或主机名和域。

会显示一条消息,表明您可以将节点注册到Webex。
7

单击转至节点

几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向Webex组织授予访问节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。
9

单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

混合数据安全 页面上,包含资源 选项卡下显示的新集群。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

开始之前

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 请确保浏览器中的任何弹出式拦截器被禁用,或者您允许admin.webex.com的例外情况。

1

从OVA创建新虚拟机,重复安装HDS主机OVA 中的步骤。

2

在新虚拟机上设置初始配置,重复设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复上传和安装HDS配置ISO中的步骤。

4

如果要为部署设置代理,请根据新节点需要配置HDS节点用于代理集成 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在“云服务”部分中,找到混合数据安全卡,然后单击查看全部

    将显示混合数据安全资源页面。

  3. 新创建的集群将出现在资源 页面中。

  4. 单击集群以查看分配给集群的节点。

  5. 单击屏幕右侧的添加节点

  6. 输入节点的内部IP地址或完全符合条件的域名(FQDN),然后单击添加

    会打开一个页面,其中包含一条消息,表明您可以将节点注册到Webex云中。几分钟后,您将重定向到Webex服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此,您确认要向组织授予访问节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现在已注册到Webex云。

  8. 单击链接或关闭标签页,返回到“合作伙伴枢纽混合数据安全”页面。

    已添加节点 弹出消息也出现在“合作伙伴中心”屏幕的底部。

    您的节点已注册。

在多租户混合数据安全上管理租户组织

在Partner Hub上激活多租户HDS

此任务确保客户组织的所有用户都可以开始利用HDS进行内部加密密钥和其他安全服务。

开始之前

确保您已完成设置多租户HDS集群所需的节点数。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击编辑设置

4

单击HDS Status 卡上的激活HDS

在Partner Hub中添加租户组织

在此任务中,您将客户组织分配给您的混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

单击要分配给客户的集群。

5

转至已分配客户 选项卡。

6

单击添加客户

7

从下拉菜单中选择要添加的客户。

8

单击添加,客户将被添加到集群中。

9

重复步骤6至8,将多个客户添加到您的群集。

10

添加客户后,单击屏幕底部的完成

下一步

按照使用HDS设置工具创建客户主键(CMK) 中的详细说明,运行HDS设置工具,以完成设置过程。

使用HDS设置工具创建客户主键(CMK)

开始之前

按照合作伙伴枢纽中添加租户组织中的详细信息,将客户分配给相应的集群。运行HDS设置工具以完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

确保连接到数据库以执行CMK管理。
11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 为所有组织创建CMK创建CMK -单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击创建CMK 为所有新添加的组织创建CMK。
  • 单击表格中特定组织待处理状态的CMK管理附近的…,然后单击创建CMK ,为该组织创建CMK。
12

成功创建CMK后,表格中的状态将从待定CMK管理 更改为CMK管理

13

如果CMK创建失败,将显示错误。

删除租户组织

开始之前

删除后,客户组织的用户将无法利用HDS满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系Cisco合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击查看全部

4

资源 标签页上,单击要删除客户组织的集群。

5

在打开的页中,单击已分配客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ,然后单击从群集中删除

下一步

撤销从重型包装袋中删除的租户的CMK中详述,通过撤销客户组织的CMK来完成删除流程。

撤销从重型包装袋中删除的租户的CMK。

开始之前

按照删除租户组织中的详细说明从适当集群中删除客户。运行HDS设置工具以完成被删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要合作伙伴中心帐户的凭据,并拥有您的组织完全管理员权限。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

“设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

使用Web浏览器转至localhost http://127.0.0.1:8080,并在提示符中输入Partner Hub的管理员用户名。

该工具使用用户名的第一条输入为该帐户设置适当的环境。然后,该工具会显示标准登录提示。

7

出现提示时,输入您的Partner Hub管理员登录凭据,然后单击登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO导入 页面上,单击

10

在浏览器中选择您的ISO文件并上传。

11

转至租户CMK管理 选项卡,您将找到以下三种管理租户CMK的方法。

  • 撤销所有组织的CMK撤销所有CMK -单击屏幕顶部横幅上的此按钮,以撤销已删除的所有组织的CMK。
  • 单击屏幕右侧的管理CMK 按钮,然后单击撤销已删除的所有组织的CMK
  • 单击 表格中特定组织的CMK要被撤销 状态,然后单击Revoke CMK 以撤销该特定组织的CMK。
12

一旦CMK撤销成功,客户组织将不再出现在表中。

13

如果CMK撤销失败,将显示错误。

测试您的混合数据安全部署

测试混合数据安全部署

使用此程序测试多租户混合数据安全加密场景。

开始之前

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。作为客户组织用户之一登录Webex应用程序,然后创建空间。

如果您停用混合数据安全部署,一旦替换了客户端缓存的加密密钥副本,用户创建的空间中的内容将不再访问。

2

向新空间发送消息。

3

检查系统日志输出以验证关键请求是否传递到混合数据安全部署。

  1. 要检查是否有用户先建立到KMS的安全通道,请在 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION上过滤:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. 要检查是否在KMS中请求现有密钥的用户,请在 kms.data.method=retrievekms.data.type=KEY上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 要检查请求创建新KMS密钥的用户,请在 kms.data.method=createkms.data.type=KEY_COLLECTION上过滤:

    您应找到一个条目,如下所示:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 要检查在创建空间或其他受保护资源时请求创建新的KMS资源对象(KRO)的用户,请在 kms.data.method=createkms.data.type=RESOURCE_COLLECTION上过滤:

    您应找到一个条目,如下所示: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

监控混合数据安全的运行状况

Partner Hub中的状态指示器会显示多租户混合数据安全部署是否一切顺利。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择服务

2

在“云服务”部分中,找到“混合数据安全”并单击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的HDS部署

管理 HDS 部署

使用此处描述的任务管理混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在“云服务”部分中,找到“混合数据安全”并单击设置

4

在“混合数据安全资源”页面上,选择集群。

5

单击集群设置 选项卡。

6

在“群集设置”页上,在“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以单击暂停24小时将升级推迟到下一天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置—新旧密码均有效期长达10天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置—旧密码立即停止工作。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的Partner Hub帐户的凭证。

    如果您没有Docker Desktop许可证,则可以使用Podman Desktop为以下程序中的步骤1.a至1.e运行HDS设置工具。有关详细信息,请参阅使用Podman桌面运行HDS设置工具

    如果HDS设置工具在您的环境中的代理后运行,在 1.e 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    “设置”工具不支持通过 http://localhost:8080 连接到localhost。使用http://127.0.0.1:8080 连接至本地主持人。

  7. 出现提示时,输入您的Partner Hub客户登录凭据,然后单击接受 以继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭“设置”工具,请输入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果只运行一个HDS节点,创建新的混合数据安全节点VM,并使用新的配置ISO文件对其进行注册。有关更详细说明,请参阅创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1,选择从ISO文件中安装的选项,然后浏览到下载新配置ISO文件的位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

开始之前

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在Web浏览器中,打开混合数据安全节点接口(例如IP地址/设置),https://192.0.2.0/setup), 输入为节点设置的管理凭据,然后单击登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

使用此程序从Webex云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机,以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录到合作伙伴中心,然后选择服务

  2. 在混合数据安全卡上,单击查看全部 以显示混合数据安全资源页面。

  3. 选择群集以显示其概览面板。

  4. 单击要删除的节点。

  5. 单击右侧面板上的取消注册此节点

  6. 您也可以取消注册节点,方法是单击节点的右侧…,然后选择删除该节点

3

在vSphere客户端中,删除VM。(在左侧导航窗格中,右键单击虚拟机,然后单击删除。)

如果未删除VM,请务必卸载配置ISO文件。没有ISO文件,您无法使用VM访问您的安全数据。

使用待机数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在Webex云中的消息和其他内容的密钥。对于被分配到Hybrid Data Security的组织内的每个用户,新密钥创建请求将路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。丢失混合数据安全数据库或模式使用的配置ISO将导致客户内容不可恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主要数据中心中的HDS部署不可用,请按照此步骤手动故障转移至待机数据中心。

开始之前

按照删除节点中提到的从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新ISO文件执行下面提到的故障转移程序。
1

启动HDS设置工具,并按照为HDS主持人创建配置ISO 中提到的步骤操作。

2

完成配置过程并将该ISO文件保存在易于查找的位置。

3

在本地系统上备份ISO文件。确保备份副本安全。此文件包含针对数据库内容的主加密密钥。仅限制应进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

单击编辑设置> CD/DVD驱动器1 ,然后选择Datastore ISO文件。

确保已检查已连接已连接 ,以便启动节点后更新配置更改生效。

6

打开HDS节点,并确保至少15分钟没有警报。

7

在合作伙伴中心中注册节点。参考注册集群中的第一个节点

8

为待机数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次处于活动状态,取消注册待机数据中心的节点,并重复配置ISO和注册主数据中心节点的过程,如上所述。

(可选)在HDS配置后卸载ISO

标准HDS配置与已安装的ISO一起运行。但是,有些客户不希望继续安装ISO文件。您可以在所有HDS节点获取新配置后卸载ISO文件。

您仍然使用ISO文件进行配置更改。当您通过“设置工具”创建新的ISO或更新ISO时,您必须将更新后的ISO安装在您的所有HDS节点上。一旦您的所有节点都获取了配置更改,您可以使用此程序再次卸载ISO。

开始之前

将所有HDS节点升级至2021.01.22.4720或更高版本。

1

关闭您的HDS节点。

2

在vCenter Server设备中,选择HDS节点。

3

选择编辑设置 > CD/DVD驱动器 并取消检查Datastore ISO文件

4

打开HDS节点,并确保至少20分钟没有警报。

5

为每个HDS节点轮流重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点无法访问,或者集群工作太慢以至于请求超时,混合数据安全部署将被视为不可用。如果用户无法到达您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

请务必正确监控混合数据安全集群并及时处理任何警报,以避免服务中断。

提示

如果混合数据安全设置存在问题,Partner Hub会显示组织管理员警报,并将电子邮件发送到已配置的电子邮件地址。警告涵盖了许多常见情境。

表1。 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以访问外部连接要求中指定的Webex服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在Partner Hub中激活HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

未针对已添加的机构完成租户组织设置

使用HDS设置工具为新添加的租户组织创建CMK来完成设置。

已删除的机构尚未完成租户组织设置

通过撤销使用HDS设置工具删除的租户组织的CMK来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时使用以下一般指南。
1

请查看“合作伙伴中心”以获取任何警报,并修复您在其中找到的任何项目。请参阅下面的图像以供参考。

2

查看混合数据安全部署中的活动的syslog服务器输出。筛选“警告”和“错误”等词语以帮助故障排除。

3

联系 Cisco 支持人员

其他注释

混合数据安全的已知问题

  • 如果您关闭Hybrid Data Security集群(在Partner Hub中删除或关闭所有节点)、丢失配置ISO文件或无法访问密钥存储数据库,客户组织的Webex应用程序用户将不再使用使用KMS密钥创建的“人员”列表下的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

使用Podman桌面运行HDS设置工具

Podman是一个免费的开源容器管理工具,提供了一种运行、管理和创建容器的方式。可以从 https://podman-desktop.io/downloads 下载Podman Desktop。

  • 在本地计算机上,HDS 安装工具是以 Docker 容器的形式运行的。要访问它,请在该计算机上下载并运行Podman。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果HDS设置工具在您环境中的代理后运行,则在步骤 5 中启动Docker容器时,通过Docker环境变量提供代理设置(服务器、端口、凭证)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置ISO文件包含对PostgreSQL或Microsoft SQL Server数据库进行加密的主密钥。每次进行配置更改时,都需要此文件的最新副本,如下所示:

    • 数据库凭证

    • 证书更新

    • 授权政策的更改

  • 如果您计划加密数据库连接,请为TLS设置您的PostgreSQL或SQL Server部署。

混合数据安全设置过程创建ISO文件。然后使用ISO配置混合数据安全主持人。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

podman rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

podman rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

podman login docker.io -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

podman pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

podman pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在使用HTTPS代理的常规环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

下一步

按照为HDS主持人创建配置ISO更改节点配置 中的剩余步骤创建或更改ISO配置。

利用 OpenSSL 生成 PKCS12 文件

开始之前

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您选择使用OpenSSL,我们将提供此程序作为指南,帮助您创建符合 X.509证书要求中的X.509证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

当您从CA收到服务器证书时,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem 的证书捆绑文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

使用友好名称 kms-private-key 创建。p12文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,验证私钥和第一个证书是否包含行 friendlyName: kms-private-key

    示例:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

下一步

返回完成混合数据安全的先决条件。您将在hdsnode.p12 为HDS主机创建配置ISO中使用hdsnode.p12 文件和设置的密码。

您可以在原始证书到期时重用这些文件请求新证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到Webex云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从Webex云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查HTTPS流量的Squid代理可能会干扰混合数据安全要求的WebSocket (wss:)连接的建立。这些部分提供有关如何配置不同版本的Squid以忽略wss: 流量以正确运行服务的指导。

Squid 4 和 5

on_unsupported_protocol 指令添加至squid.conf

on_unsupported_protocol tunnel all

Squid 3.5.27

我们通过添加到 squid.conf 的以下规则成功测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

新信息和变更信息

新信息和变更信息

此表涵盖了新特性或功能、对现有内容的更改以及在 多租户混合数据安全部署指南中修复的任何重大错误。

日期

所做的更改

2025年5月8日
2025年3月4日

2025年1月30日

数据库服务器要求中,将 SQL 服务器版本 2022 添加到受支持的 SQL 服务器列表中。

2025年1月15日

添加了 多租户混合数据安全的局限性

2025年1月8日

执行初始设置并下载安装文件 中添加了一条注释,指出单击合作伙伴中心的 HDS 卡上的 设置 是安装过程的重要步骤。

2025年1月7日

更新了 虚拟主机要求混合数据安全部署任务流安装 HDS 主机 OVA 以显示 ESXi 7.0 的新要求。

2024年12月13日

首次发表。

停用多租户混合数据安全

多租户 HDS 停用任务流程

按照以下步骤完全停用多租户 HDS。

准备工作

此任务只能由合作伙伴完全管理员执行。
1

从所有集群中删除所有客户,如 删除租户组织中所述。

2

撤销所有客户的 CMK,如 撤销从 HDS 中删除的租户的 CMK。中所述。

3

从所有集群中删除所有节点,如 删除节点中所述。

4

使用以下两种方法之一从合作伙伴中心删除所有集群。

  • 点击需要删除的集群,在概览页右上角选择 【删除此集群 】 。
  • 在资源页面中,单击集群右侧的 ... ,然后选择 删除集群
5

点击混合数据安全概览页面上的 设置 选项卡,然后点击HDS状态卡上的 停用HDS

开始使用多租户混合数据安全

多租户混合数据安全概述

从第一天起,数据安全就是设计 Webex App 的主要关注点。这种安全性的基石是端到端内容加密,由与密钥管理服务 (KMS) 交互的 Webex App 客户端实现。KMS 负责创建和管理密钥,客户端则使用密钥动态地加密和解密消息和文件。

默认情况下,所有 Webex App 客户都可以在 Cisco 的安全领域中使用存储在云 KMS 中的动态密钥获得端到端加密。混合数据安全性则将 KMS 和其他安全相关功能移动到您的企业数据中心,确保除了您之外的任何人都不掌握您的加密内容的密钥。

多租户混合数据安全 使组织能够通过值得信赖的本地合作伙伴利用 HDS,该合作伙伴可以充当服务提供商并管理内部加密和其他安全服务。此设置允许合作伙伴组织完全控制加密密钥的部署和管理,并确保客户组织的用户数据免受外部访问。合作伙伴组织根据需要设置 HDS 实例并创建 HDS 集群。每个实例可以支持多个客户组织,而不像常规 HDS 部署那样仅限于单个组织。

虽然合作伙伴组织可以控制部署和管理,但他们无法访问客户生成的数据和内容。此访问仅限于客户组织及其用户。

这也使得较小的组织能够利用 HDS,因为密钥管理服务和安全基础设施(如数据中心)归值得信赖的本地合作伙伴所有。

多租户混合数据安全如何提供数据主权和数据控制

  • 用户生成的内容受到保护,不被外部访问,例如云服务提供商。
  • 当地值得信赖的合作伙伴负责管理已与其建立关系的客户的加密密钥。
  • 如果合作伙伴提供本地技术支持,则可选择本地技术支持。
  • 支持会议、消息和通话内容。

本文档旨在帮助合作伙伴组织在多租户混合数据安全系统下建立和管理客户。

多租户混合数据安全的局限性

  • 合作伙伴组织不得在 Control Hub 中激活任何现有的 HDS 部署。
  • 希望由合作伙伴管理的租户或客户组织不得在 Control Hub 中部署任何现有的 HDS。
  • 一旦合作伙伴部署了多租户 HDS,客户组织的所有用户以及合作伙伴组织的用户都会开始利用多租户 HDS 提供加密服务。

    他们管理的合作伙伴组织和客户组织将采用相同的多租户 HDS 部署。

    部署多租户 HDS 后,合作伙伴组织将不再使用云 KMS。

  • HDS 部署后,没有机制将密钥移回 Cloud KMS。
  • 目前,每个多租户 HDS 部署只能有一个集群,其下有多个节点。
  • 管理员角色有一定的限制;有关详细信息,请参阅下面的部分。

多租户混合数据安全中的角色

  • 合作伙伴完全管理员 - 可以管理合作伙伴管理的所有客户的设置。还可以将管理员角色分配给组织中的现有用户,并分配特定客户以由合作伙伴管理员管理。
  • 合作伙伴管理员 - 可以管理管理员配置的或已分配给用户的客户的设置。
  • 完全管理员 - 合作伙伴组织的管理员,有权执行修改组织设置、管理许可证和分配角色等任务。
  • 端到端多租户 HDS 设置和管理所有客户组织 - 需要合作伙伴完全管理员和完全管理员权限。
  • 分配的租户组织的管理 - 需要合作伙伴管理员和完全管理员权限。

安全域架构

Webex 云架构将不同类型的服务划分到不同的领域或信任域中,如下所示。

分离领域(无混合数据安全)

为了进一步了解混合数据安全,我们首先看一下纯云案例,其中思科在其云领域中提供所有功能。身份服务是用户可直接关联其个人信息(例如电子邮件地址)的唯一场所,该服务会将数据中心 B 中的安全域以逻辑和物理方式分开。数据中心 C 中最终存储加密内容的域将依次以这两种方式分开。

在此图中,客户端是在用户笔记本电脑上运行的 Webex 应用程序,并已通过身份服务进行身份验证。当用户编辑消息并发送到空间时,将执行以下步骤:

  1. 客户端会与密钥管理服务 (KMS) 建立安全连接,然后请求密钥对消息进行加密。安全连接使用 ECDH,KMS 使用 AES-256 主密钥对密钥进行加密。

  2. 系统会在消息离开客户端之前对其进行加密。客户端会将消息发送到索引服务,该服务会创建加密的搜索索引,以便于今后搜索相关内容。

  3. 加密消息被发送到合规性服务,以进行合规性检查。

  4. 加密消息被存储到存储域中。

部署混合数据安全时,您会将安全领域功能(KMS、索引和合规性)移动到您的本地数据中心。构成 Webex 的其他云服务(包括身份和内容存储)仍属于思科的领域。

与其他组织的协作

您组织中的用户可能会定期使用 Webex 应用程序与其他组织中的外部参与者进行协作。当您的某位用户请求属于贵组织的空间密钥时(因为该空间由您的某位用户创建),KMS 会通过 ECDH 安全通道将密钥发送到客户端。但是,当另一个组织拥有该空间的密钥时,您的 KMS 会通过单独的 ECDH 通道将请求路由到 Webex 云,以从适当的 KMS 获取密钥,然后在原始通道上将密钥返回给您的用户。

组织 A 上运行的 KMS 服务使用 x.509 PKI 证书验证与其他组织中的 KMS 的连接。有关生成用于多租户混合数据安全部署的 x.509 证书的详细信息,请参阅 准备您的环境

部署混合数据安全的期望

混合数据安全部署需要大量的投入和对拥有加密密钥所带来的风险的认识。

要部署混合数据安全,您必须提供:

  • Cisco Webex Teams 计划支持的国家/地区的安全数据中心。

  • 准备您的环境中描述的设备、软件和网络访问。

您为混合数据安全构建的配置 ISO 或您提供的数据库的完全丢失将导致密钥丢失。密钥丢失会阻止用户解密 Webex App 中的空间内容和其他加密数据。如果出现此情况,您可以构建一个新的部署,但只有新内容可见。为了防止丢失数据访问权,您必须:

  • 管理数据库的备份和恢复以及配置 ISO。

  • 一旦发生灾难,例如数据库磁盘故障或数据中心灾难,准备好执行快速灾难恢复。

HDS 部署后,没有机制将密钥移回云端。

高级设置过程

本文档涵盖多租户混合数据安全部署的设置和管理:

  • 设置混合数据安全— 这包括准备所需的基础设施和安装混合数据安全软件、构建 HDS 集群、向集群添加租户组织并管理其客户主密钥 (CMK)。这将使您的客户组织的所有用户能够使用您的混合数据安全集群来实现安全功能。

    接下来的三章将详细介绍设置、激活和管理阶段。

  • 维护您的混合数据安全部署—Webex 云自动提供持续升级。您的 IT 部门可为此部署提供一级支持,必要时还可联系 Cisco 支持人员。您可以在合作伙伴中心使用屏幕通知并设置基于电子邮件的警报。

  • 了解常见警报、故障排除步骤和已知问题— 如果您在部署或使用混合数据安全时遇到麻烦,本指南的最后一章和已知问题附录可能会帮助您确定和解决问题。

混合数据安全部署模式

在企业数据中心内,您可以将混合数据安全部署为位于单独虚拟主机上的单个节点集群。节点通过安全的 websocket 和安全 HTTP 与 Webex 云通信。

在安装过程中,我们会为您提供 OVA 文件,以便在您提供的 VM 上安装虚拟设备。请使用 HDS 安装工具创建用于安装在各个节点上的定制集群配置 ISO 文件。混合数据安全集群使用您提供的 Syslogd 服务器和 PostgreSQL 或 Microsoft SQL Server 数据库。(您可以在 HDS 设置工具中配置 Syslogd 和数据库连接详细信息。)

混合数据安全部署模式

在一个集群中,您最少可以有两个节点。我们建议每个集群至少有三个。拥有多个节点可确保在节点上进行软件升级或其他维护活动期间服务不会中断。(Webex 云一次仅升级一个节点。)

集群中的所有节点可访问同一密钥数据存储库,并将活动记录到同一系统日志服务器中。节点本身是无状态的,它会根据云端的指示以轮询调度方式处理密钥请求。

当您在合作伙伴中心注册节点时,节点就会变为活跃状态。要停用个别节点,可先将其取消注册,稍后再根据需要重新对其进行注册。

灾难恢复备用数据中心

在部署期间,您设置一个安全的备用数据中心。如果发生数据中心灾难,您可以手动将部署故障转移到备用数据中心。

在故障转移之前,数据中心 A 具有活动的 HDS 节点和主 PostgreSQL 或 Microsoft SQL Server 数据库,而数据中心 B 具有包含附加配置的 ISO 文件的副本、注册到组织的虚拟机以及备用数据库。故障转移后,数据中心 B 具有活动的 HDS 节点和主数据库,而 A 具有未注册的虚拟机和 ISO 文件的副本,并且数据库处于待机模式。
手动故障转移到备用数据中心

活动数据中心和备用数据中心的数据库相互同步,这将最大限度地减少执行故障转移所需的时间。

活动的混合数据安全节点必须始终与活动的数据库服务器位于同一数据中心。

代理支持

混合数据安全支持显式代理、透明检查代理和不检查代理。您可以将这些代理关联到您的部署,这样就可以保护并监控从企业输出到云端的流量。您可以在节点上使用平台管理界面进行证书管理,并在节点上设置代理后检查整体连接状态。

混合数据安全节点支持以下代理选项:

  • 无代理— 如果您不使用 HDS 节点设置信任库,则默认为 & 代理配置以集成代理。无需证书更新。

  • 透明非检查代理— 节点未配置为使用特定的代理服务器地址,并且不需要任何更改即可与非检查代理一起工作。无需证书更新。

  • 透明隧道或检查代理— 节点未配置为使用特定的代理服务器地址。无需在节点上进行任何 HTTP 或 HTTPS 配置更改。但是,节点需要根证书,以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。

  • 显式代理— 使用显式代理,您可以告诉 HDS 节点使用哪个代理服务器和身份验证方案。要配置显式代理,您必须在每个节点上输入以下信息:

    1. 代理人 IP/FQDN— 可用于访问代理机器的地址。

    2. 代理端口— 代理用于侦听代理流量的端口号。

    3. 代理协议— 根据您的代理服务器支持的内容,在以下协议之间进行选择:

      • HTTP - 查看和控制客户端发送的所有请求。

      • HTTPS - 提供到达服务器的通道。客户端接收并验证服务器的证书。

    4. 身份验证类型— 从以下身份验证类型中选择:

      • — 无需进一步身份验证。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

      • 基本— 用于 HTTP 用户代理在发出请求时提供用户名和密码。使用 Base64 编码。

        在选择 HTTP 或 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

      • Digest—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅当您选择 HTTPS 作为代理协议时可用。

        要求您在每个节点上输入用户名和密码。

混合数据安全节点和代理的示例

此图显示了混合数据安全、网络和代理之间的连接示例。对于透明检查和 HTTPS 显式检查代理选项,必须在代理和混合数据安全节点上安装相同的根证书。

阻止外部 DNS 解析模式(显式代理配置)

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。在使用显式代理配置(不允许对内部客户端使用外部 DNS 解析)的部署中,如果节点无法查询 DNS 服务器,它将自动进入阻止外部 DNS 解析模式。在此模式下,可以继续进行节点注册和其他代理连接测试。

准备好您的环境

多租户混合数据安全的要求

Cisco Webex 许可证要求

要部署多租户混合数据安全:

  • 合作组织:联系您的思科合作伙伴或客户经理,确保多租户功能已启用。

  • 租户组织:您必须拥有 Cisco Webex Control Hub 的 Pro Pack。(请参阅https://www.cisco.com/go/pro-pack。)

Docker 桌面要求

在安装 HDS 节点之前,您需要 Docker Desktop 来运行安装程序。Docker 最近更新了他们的许可模式。您的组织可能要求使用 Docker 桌面的付费订阅。有关详细信息,请参阅 Docker 博客帖子“ Docker 正在更新和扩展我们的产品订阅”。

没有 Docker Desktop 许可证的客户可以使用 Podman Desktop 等开源容器管理工具来运行、管理和创建容器。有关详细信息,请参阅 使用 Podman Desktop 运行 HDS 安装工具

X.509 证书要求

证书链必须满足以下要求:

表 1. 混合数据安全部署的 X.509 证书要求

要求

详细说明

  • 由可信的证书颁发机构 (CA) 签署

默认情况下,我们信任 https://wiki.mozilla.org/CA:IncludedCAs中的 Mozilla 列表中的 CA(WoSign 和 StartCom 除外)。

  • 具有用于标识您的混合数据安全部署的通用名称 (CN) 域名

  • 不是通配符证书

不要求 CN 具有可访问性或为生产主机。我们建议您使用能够反映您的组织的名称,例如 hds.company.com

CN 不得包含 * (通配符)。

CN 用于向 Webex App 客户端验证混合数据安全节点。集群中的所有混合数据安全节点都使用相同的证书。KMS 使用 CN 域来标识自身,而非 x.509v3 SAN 字段中定义的域。

使用此证书注册节点后,将无法更改 CN 域名。

  • 非 SHA1 签名

KMS 软件不支持使用 SHA1 签名来验证到其他组织的 KMS 的连接。

  • 采用受密码保护的 PKCS #12 文件格式

  • 使用 kms-private-key 的友好名称来标记证书、私钥和任何要上传的中间证书。

可以使用转换器(例如 OpenSSL)来更改证书的格式。

运行 HDS 安装工具时需要输入密码。

KMS 软件不强制实施密钥用法限制或扩展密钥用法限制。部分证书颁发机构要求向每个证书(例如服务器验证)应用扩展密钥用法限制。可以使用服务器验证或其他设置。

虚拟主机要求

您将在集群中设置为混合数据安全节点的虚拟主机具有以下要求:

  • 至少两个独立的主机(建议 3 个)位于同一安全数据中心

  • VMware ESXi 7.0 或 8.0 已安装并正在运行。

    如果您拥有早期版本的 ESXi,则必须升级。

  • 每台服务器至少有 4 个 vCPU、8 GB 主内存、30 GB 本地硬盘空间

数据库服务器要求

创建一个用于密钥存储的新数据库。不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。

数据库服务器有两个选项。每个要求如下:

表 2. 数据库服务器要求(按数据库类型)

PostgreSQL

微软 SQL 服务器

  • 已安装并正在运行 PostgreSQL 14、15 或 16。

  • 已安装 SQL Server 2016、2017、2019 或 2022(企业版或标准版)。

    SQL Server 2016 需要 Service Pack 2 和累积更新 2 或更高版本。

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

至少 8 个 vCPU、16-GB 主存、足够的本地硬盘空间,加上确保空间不会超限的监控措施(如果希望在无需增加存储空间的情况下长时间运行数据库,建议选择 2-TB )

HDS 软件当前安装以下驱动程序版本以便与数据库服务器通信:

PostgreSQL

微软 SQL 服务器

Postgres JDBC 驱动程序 42.2.5

SQL Server JDBC 驱动程序 4.6

此驱动程序版本支持 SQL Server Always On( Always On 故障转移群集实例Always On 可用性组)。

针对 Microsoft SQL Server 的 Windows 身份验证的附加要求

如果您希望 HDS 节点使用 Windows 身份验证来访问 Microsoft SQL Server 上的密钥库数据库,则需要在您的环境中进行以下配置:

  • HDS 节点、Active Directory 基础架构和 MS SQL Server 都必须与 NTP 同步。

  • 您向 HDS 节点提供的 Windows 帐户必须具有 read/write 访问数据库。

  • 您向 HDS 节点提供的 DNS 服务器必须能够解析您的密钥分发中心 (KDC)。

  • 您可以将 Microsoft SQL Server 上的 HDS 数据库实例注册为 Active Directory 上的服务主体名称 (SPN)。请参阅 为 Kerberos 连接注册服务主体名称

    HDS 安装工具、HDS 启动器和本地 KMS 都需要使用 Windows 身份验证来访问密钥库数据库。当使用 Kerberos 身份验证请求访问时,他们会使用 ISO 配置中的详细信息来构建 SPN。

外部连接要求

配置防火墙以允许 HDS 应用程序进行以下连接:

应用程序

协议

端口

应用程序的指示

目标位置

混合数据安全节点

TCP

443

出站 HTTPS 和 WSS

  • Webex 服务器:

    • *.wbx2.com

    • *.ciscospark.com

  • 所有 Common Identity 主机

  • Webex 混合服务的其他 URL 表中列出的用于混合数据安全的其他 URL( Webex 服务的网络要求

HDS设置工具

TCP

443

出站 HTTPS

  • *.wbx2.com

  • 所有 Common Identity 主机

  • hub.docker.com

混合数据安全节点可与网络访问转换 (NAT) 配合使用或在防火墙后面工作,只要 NAT 或防火墙允许与上表中的域目标建立所需的出站连接即可。对于进入混合数据安全节点的连接,互联网上不应显示任何端口。在您的数据中心内,客户端需要访问 TCP 端口 443 和 22 上的混合数据安全节点,以进行管理。

通用身份 (CI) 主机的 URL 是特定于区域的。这些是当前的 CI 主机:

地区

通用身份主机 URL

美洲

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

欧盟

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

加拿大

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

新加坡

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

阿拉伯联合酋长国

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

代理服务器要求

  • 我们为可与混合数据安全节点集成的下列代理解决方案提供官方支持。

    • 透明代理 - Cisco Web 安全设备 (WSA)。

    • 显式代理 - Squid。

      检查 HTTPS 流量的 Squid 代理可能会干扰 websocket 的建立 (wss:) 连接。要解决此问题,请参阅 为混合数据安全配置 Squid 代理

  • 我们支持显式代理的以下验证类型组合:

    • 不进行 HTTP 或 HTTPS 验证

    • 进行 HTTP 或 HTTPS 基本验证

    • 仅进行 HTTPS 摘要验证

  • 对于透明检查代理或 HTTPS 显式代理,您必须拥有该代理的根证书副本。本指南中的部署说明介绍如何将副本上传到混合数据安全节点的信任库。

  • 托管 HDS 节点的网络必须配置为强制通过代理路由端口 443 上的出站 TCP 流量。

  • 检查网络流量的代理可能会干扰 Web 套接字连接。如果出现此问题,绕过(不检查)到 wbx2.comciscospark.com 的流量将解决问题。

满足混合数据安全的先决条件

使用此清单确保您已准备好安装和配置混合数据安全集群。
1

确保您的合作伙伴组织已启用多租户 HDS 功能,并获取具有合作伙伴完全管理员和完全管理员权限的帐户的凭据。确保您的 Webex 客户组织已启用 Cisco Webex Control Hub 的 Pro Pack。联系您的 Cisco 合作伙伴或帐户管理员获取此过程的相关帮助。

客户组织不应有任何现有的 HDS 部署。

2

为您的 HDS 部署选择一个域名(例如, hds.company.com)并获取包含 X.509 证书、私钥和任何中间证书的证书链。证书链必须满足 X.509 证书要求中的要求。

3

准备相同的虚拟主机,将其设置为集群中的混合数据安全节点。您至少需要两个独立的主机(建议 3 个)位于同一个安全的数据中心,并且满足 虚拟主机要求中的要求。

4

根据 数据库服务器要求,准备将作为集群的关键数据存储的数据库服务器。数据库服务器必须与虚拟主机位于同一安全数据中心。

  1. 创建用于密钥存储的数据库。(您必须创建此数据库 - 不要使用默认数据库。安装 HDS 应用程序后,它会创建相应的数据库架构。)

  2. 收集节点用于与数据库服务器通信的详细信息:

    • 主机名或 IP 地址(主机)和端口

    • 用于密钥存储的数据库的名称 (dbname)

    • 对密钥存储数据库拥有全部权限的用户的用户名和密码

5

为了快速实现灾难恢复,请在不同的数据中心设置备份环境。备份环境镜像了虚拟机和备份数据库服务器的生产环境。例如,如果生产环境中有 3 个运行 HDS 节点的 VM,那么备份环境中也应有 3 个 VM。

6

设置系统日志主机以收集集群中节点的日志。收集其网络地址和系统日志端口(缺省值为 UDP 514)。

7

为混合数据安全节点、数据库服务器和系统日志主机创建安全备份策略。至少,为了防止无法恢复的数据丢失,您必须备份数据库和为混合数据安全节点生成的配置 ISO 文件。

由于混合数据安全节点存储了用于加密和解密内容的密钥,因此无法维持操作部署将导致该内容的 无法恢复的丢失

Webex App 客户端会缓存其密钥,因此中断可能不会立即被注意到,但会随着时间的推移而变得明显。虽然无法防止短暂中断发生,但可以对其进行恢复。不过,如果数据库或配置 ISO 文件被彻底丢失(无备份可用),就会导致客户数据无法恢复。混合数据安全节点的运营商需要经常备份数据库和配置 ISO 文件,并准备在发生灾难性故障时重建混合数据安全数据中心。

8

确保您的防火墙配置允许您的混合数据安全节点进行连接,如 外部连接要求中所述。

9

在任何运行受支持操作系统(Microsoft Windows 10 Professional 或 Enterprise 64 位,或 Mac OSX Yosemite 10.10.3 或更高版本)的本地计算机上安装 Docker( https://www.docker.com),并使用可以通过 http://127.0.0.1:8080.访问的 Web 浏览器

您使用 Docker 实例下载并运行 HDS 安装工具,该工具为所有混合数据安全节点构建本地配置信息。您可能需要 Docker Desktop 许可证。有关更多信息,请参阅 Docker Desktop 要求

要安装和运行 HDS 设置工具,本地机器必须具有 外部连接要求中概述的连接。

10

如果您将代理与混合数据安全集成,请确保它满足 代理服务器要求

设置混合数据安全集群

混合数据安全部署任务流程

准备工作

1

执行初始设置并下载安装文件

将 OVA 文件下载到本地机器以供日后使用。

2

为 HDS 主机创建配置 ISO

使用 HDS 设置工具为混合数据安全节点创建 ISO 配置文件。

3

安装 HDS 主机 OVA

从 OVA 文件创建虚拟机并执行初始配置,例如网络设置。

OVA 部署期间配置网络设置的选项已使用 ESXi 7.0 和 8.0 进行了测试。该选项在早期版本中可能不可用。

4

设置混合数据安全 VM

登录 VM 控制台并设置登录凭据。如果在部署 OVA 时未配置节点的网络设置,请配置节点的网络设置。

5

上传并装载 HDS 配置 ISO

使用 HDS 安装工具创建的 ISO 配置文件来配置 VM。

6

配置用于代理集成的 HDS 节点

如果网络环境需要代理配置,请指定将用于节点的代理类型,并在需要时将代理证书添加到信任库。

7

注册集群中的第一个节点

将 VM 作为混合数据安全节点注册到 Cisco Webex 云。

8

创建并注册更多节点

完成集群设置。

9

在合作伙伴中心激活多租户 HDS。

在合作伙伴中心激活 HDS 并管理租户组织。

执行初始设置并下载安装文件

在此任务中,您将 OVA 文件下载到您的机器(而不是您设置为混合数据安全节点的服务器)。稍后的安装过程中会用到此文件。

1

登录合作伙伴中心,然后单击 服务

2

在云服务部分,找到混合数据安全卡,然后单击 设置

单击合作伙伴中心中的 设置 对于部署过程至关重要。如果未完成此步骤,请勿继续安装。

3

单击 添加资源 ,然后单击 安装和配置软件 卡上的 下载.OVA文件

旧版本的软件包(OVA)与最新的混合数据安全升级不兼容。这可能会导致升级应用程序时出现问题。确保下载最新版本的 OVA 文件。

您也可以随时从 帮助 部分下载 OVA。点击 设置 > 帮助 > 下载混合数据安全软件

OVA 文件将自动开始下载。将文件保存到计算机上的某个位置。
4

或者,单击 查看混合数据安全部署指南 以检查是否有此指南的更高版本可用。

为 HDS 主机创建配置 ISO

混合数据安全设置过程会创建一个 ISO 文件。然后使用 ISO 配置混合数据安全主机。

准备工作
1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在具有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

安装工具不支持通过 连接到本地主机 http://localhost:8080。使用 http://127.0.0.1:8080 连接到本地主机。

使用 Web 浏览器转到本地主机 http://127.0.0.1:8080,然后在提示符下输入合作伙伴中心的管理员用户名。

该工具使用用户名的第一个条目来为该帐户设置适当的环境。然后该工具会显示标准登录提示。

7

出现提示时,输入您的合作伙伴中心管理员登录凭据,然后单击 登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO 导入 页面上,您有以下选项:

  • — 如果您正在创建第一个 HDS 节点,则没有 ISO 文件可供上传。
  • —如果您已经创建了 HDS 节点,则您可以在浏览中选择您的 ISO 文件并上传它。
10

检查您的 X.509 证书是否满足 X.509 证书要求中的要求。

  • 如果您之前从未上传过证书,请上传 X.509 证书,输入密码,然后单击 继续
  • 如果您的证书没有问题,请点击 继续
  • 如果您的证书已过期或者您想要替换它,请为 继续使用来自以前 ISO 的 HDS 证书链和私钥?[]选择 。上传新的X.509证书,输入密码,点击 继续
11

输入 HDS 访问您的密钥数据存储的数据库地址和帐户:

  1. 选择您的 数据库类型PostgreSQLMicrosoft SQL Server)。

    如果您选择 Microsoft SQL Server,您将获得一个身份验证类型字段。

  2. (仅限Microsoft SQL Server )选择您的 身份验证类型:

    • 基本身份验证: 您需要在 用户名 字段中输入本地 SQL Server 帐户名。

    • Windows 身份验证: 您需要在 用户名 字段中输入一个格式为 [ username@DOMAIN 的 Windows 帐户。

  3. ::的形式输入数据库服务器地址。

    例如:
    dbhost.example.org:1433198.51.100.17:1433

    如果节点无法使用 DNS 解析主机名,则可以使用 IP 地址进行基本身份验证。

    如果您使用 Windows 身份验证,则必须输入以下格式的完全限定域名 dbhost.example.org:1433

  4. 输入 数据库名称

  5. 输入对密钥存储数据库具有所有权限的用户的 用户名密码

12

选择 TLS 数据库连接模式:

模式

描述

首选 TLS (默认选项)

HDS 节点不需要 TLS 就能连接到数据库服务器。如果在数据库服务器上启用 TLS,节点将尝试建立加密连接。

需要 TLS

仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

需要 TLS 并验证证书签名者

此模式不适用于 SQL Server 数据库。

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立 TLS 连接后,节点将数据库服务器的证书签名者与 数据库根证书中的证书颁发机构进行比较。如果不匹配,节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

需要 TLS 并验证证书签名者和主机名

  • 仅当数据库服务器可以协商 TLS 时,HDS 节点才会连接。

  • 建立 TLS 连接后,节点将数据库服务器的证书签名者与 数据库根证书中的证书颁发机构进行比较。如果不匹配,节点将断开连接。

  • 节点还验证服务器证书中的主机名是否与 数据库主机和端口 字段中的主机名匹配。名称必须完全匹配,否则节点将断开连接。

使用下拉列表下的数据库根证书控件上传该选项的根证书。

当您上传根证书(如有必要)并单击 继续时,HDS 设置工具会测试与数据库服务器的 TLS 连接。如果适用,该工具还会验证证书签名者和主机名。如果测试失败,该工具会显示一条错误消息,描述相关问题。您可以选择是否忽略错误并继续进行设置。(由于连接差异,即使 HDS 设置工具机器无法成功测试,HDS 节点也可能能够建立 TLS 连接。)

13

在系统日志页面上,配置您的 Syslogd 服务器:

  1. 输入系统日志服务器 URL。

    如果服务器无法从 HDS 群集的节点进行 DNS 解析,请在 URL 中使用 IP 地址。

    例如:
    udp://10.92.43.23:514 表示将日志记录到 Syslogd 主机 10.92.43.23 的 UDP 端口 514 上。

  2. 如果您将服务器设置为使用 TLS 加密,请检查 您的 syslog 服务器是否配置了 SSL 加密?

    如果选中此复选框,请确保输入 TCP URL,例如 tcp://10.92.43.23:514

  3. 选择 syslog 记录终止 下拉菜单中,为您的 ISO 文件选择适当的设置:对于 Graylog 和 Rsyslog TCP,使用选择或换行符

    • 空字节—— \x00

    • 换行符 -- \n— 为 Graylog 和 Rsyslog TCP 选择此选项。

  4. 单击继续

14

(可选)您可以在 高级设置中更改某些数据库连接参数的默认值。通常,此参数是您可能想要更改的唯一参数:

app_datasource_connection_pool_maxSize: 10
15

“重置服务帐户密码 ”屏幕上,单击 “继续 ” 。

服务帐户密码的有效期为九个月。当您的密码即将到期或您想要重置密码以使之前的 ISO 文件无效时,请使用此屏幕。

16

单击下载 ISO 文件。将文件保存在易于查找的位置。

17

在本地系统上制作 ISO 文件的备份副本。

确保备份副本的安全。此文件包含针对数据库内容的主加密密钥。仅限制那些应该进行配置更改的混合数据安全管理员的访问权限。

18

要关闭安装工具,请键入 CTRL+C

下一步

对配置 ISO 文件进行备份。您需要它来创建更多节点以进行恢复,或者进行配置更改。如果您丢失了 ISO 文件的所有副本,那么您也会丢失主密钥。无法从 PostgreSQL 或 Microsoft SQL Server 数据库恢复密钥。

我们从来没有此钥匙的副本,如果您丢失了它,我们将无法提供帮助。

安装 HDS 主机 OVA

使用此过程从 OVA 文件创建虚拟机。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机。

2

选择“文件 > 部署 OVF 模板”。

3

在向导中,指定您之前下载的 OVA 文件的位置,然后单击 下一步

4

选择名称和文件夹 页面上,输入节点的 虚拟机名称 (例如,“HDS_Node_1”),选择虚拟机节点部署可以驻留的位置,然后单击 下一步

5

选择计算资源 页面上,选择目标计算资源,然后单击 下一步

运行验证检查。完成后,将显示模板详细信息。

6

验证模板详细信息,然后单击 下一步

7

如果在 配置 页面上要求您选择资源配置,请单击 4 CPU ,然后单击 下一步

8

选择存储 页面上,单击 下一步 接受默认磁盘格式和虚拟机存储策略。

9

选择网络 页面上,从条目列表中选择网络选项,为虚拟机提供所需的连接。

10

自定义模板 页面上,配置以下网络设置:

  • 主机名— 输入节点的 FQDN(主机名和域)或单词主机名。

    • 设置域时,不需要与用来获取 X.509 证书的域匹配。

    • 为确保成功注册到云,请在为节点设置的 FQDN 或主机名中仅使用小写字符。目前不支持大写字符。

    • FQDN 的总长度绝不得超过 64 个字符。

  • IP 地址— 输入节点内部接口的 IP 地址。

    节点应该具有内部 IP 地址和 DNS 名称。不支持 DHCP。

  • 掩码— 以点分十进制表示法输入子网掩码地址。例如, 255.255.255.0
  • 网关— 输入网关 IP 地址。网关是作为另一个网络的接入点的网络节点。
  • DNS 服务器— 输入以逗号分隔的 DNS 服务器列表,用于将域名转换为数字 IP 地址。(最多允许 4 个 DNS 条目。)
  • NTP 服务器— 输入您组织的 NTP 服务器或可在您的组织中使用的其他外部 NTP 服务器。默认 NTP 服务器可能不适用于所有企业。您还可以使用逗号分隔的列表输入多个 NTP 服务器。

  • 将所有节点部署在同一个子网或 VLAN 上,以便集群中的所有节点都可以从网络中的客户端访问,以进行管理。

如果愿意,您可以跳过网络设置配置,并按照 设置混合数据安全虚拟机 中的步骤从节点控制台配置设置。

OVA 部署期间配置网络设置的选项已使用 ESXi 7.0 和 8.0 进行了测试。该选项在早期版本中可能不可用。

11

右键单击节点VM,然后选择 电源 > 开启

混合数据安全软件作为来宾安装在 VM 主机上。您现在可以登录控制台并配置节点。

疑难解答提示

在节点容器启动前,您可能会遇到几分钟的延迟。首次启动时控制台上会显示桥接器防火墙消息,此时您无法登录。

设置混合数据安全 VM

使用此过程首次登录混合数据安全节点 VM 控制台并设置登录凭据。如果您在部署 OVA 时没有配置节点的网络设置,您也可以使用控制台来配置这些设置。

1

在 VMware vSphere 客户端中,选择混合数据安全节点 VM 并选择控制台标签页。

VM 启动,并出现登录提示。如果没有显示登录提示,请按 Enter 键。
2

使用以下缺省登录名和密码进行登录并更改凭证:

  1. 登录名: admin

  2. 密码: cisco

由于这是您首次登录到 VM,因此需要更改管理员密码。

3

如果您已经在 安装 HDS 主机 OVA中配置了网络设置,请跳过此过程的其余部分。否则,在主菜单中,选择 编辑配置 选项。

4

设置带有 IP 地址、掩码、网关和 DNS 信息的静态配置。节点应该具有内部 IP 地址和 DNS 名称。不支持 DHCP。

5

(可选)如需与网络策略匹配,可更改主机名、域或 NTP 服务器。

设置域时,不需要与用来获取 X.509 证书的域匹配。

6

保存网络配置并重新启动 VM,以便让更改生效。

上传并装载 HDS 配置 ISO

使用此过程从利用 HDS 安装工具创建的 ISO 文件中配置虚拟机。

准备工作

由于 ISO 文件保存主密钥,因此它应该只在“需要知道”的基础上公开,以供混合数据安全虚拟机和可能需要进行更改的任何管理员访问。确保只有那些管理员才能访问数据存储。

1

从您的计算机上传 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,单击 ESXi 服务器。

  2. 在“配置”标签页的“硬件”列表中,单击存储

  3. 在“数据存储”列表中,右键单击 VM 的数据存储,然后单击浏览数据存储

  4. 单击“上传文件”图标,然后单击上传文件

  5. 浏览至 ISO 文件下载到的计算机位置,然后单击打开

  6. 单击确定以接受上传/下载操作警告,关闭数据存储对话。

2

装载 ISO 文件:

  1. 在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

  2. 单击确定以接受限制编辑选项警告。

  3. 单击 CD/DVD Drive 1,选择从数据存储 ISO 文件挂载的选项,然后浏览到上传配置 ISO 文件的位置。

  4. 勾选连接启动时连接

  5. 保存更改并重新启动虚拟机。

下一步

如果您的 IT 策略需要,您可以在所有节点获取配置更改后选择卸载 ISO 文件。有关详细信息,请参阅 (可选)在 HDS 配置后卸载 ISO

配置用于代理集成的 HDS 节点

如果网络环境需要代理,请使用此程序来指定要与混合数据安全集成的代理类型。如果选择了透明检查代理或 HTTPS 显式代理,则可以使用节点的界面上传和安装根证书。您还可以从界面检查代理连接,并对任何潜在问题进行故障诊断。

准备工作

1

在 Web 浏览器中输入 HDS 节点设置 URL https://[HDS Node IP or FQDN]/setup ,输入您为该节点设置的管理员凭据,然后单击 登录

2

转至信任库和代理,然后选择一个选项:

  • 无代理— 集成代理之前的默认选项。无需证书更新。
  • 透明非检查代理— 节点未配置为使用特定的代理服务器地址,并且不需要任何更改即可与非检查代理一起工作。无需证书更新。
  • 透明检查代理— 节点未配置为使用特定的代理服务器地址。混合数据安全部署中无需进行任何 HTTPS 配置更改,但是 HDS 节点需要根证书以便它们信任代理。IT 部门通常使用检查代理来强制执行可以访问哪些网站以及不允许哪些内容类型的策略。这类代理会解密您的所有流量(甚至 HTTPS)。
  • 显式代理— 使用显式代理,您可以告诉客户端(HDS 节点)使用哪个代理服务器,并且此选项支持多种身份验证类型。选择此选项后,您必须输入以下信息:

    1. 代理人 IP/FQDN— 可用于访问代理机器的地址。

    2. 代理端口— 代理用于侦听代理流量的端口号。

    3. 代理协议— 选择 http (查看并控制从客户端接收的所有请求)或 https (提供到服务器的通道,客户端接收并验证服务器的证书)。根据代理服务器支持的内容选择一个选项。

    4. 身份验证类型— 从以下身份验证类型中选择:

      • — 无需进一步身份验证。

        适用于 HTTP 或 HTTPS 代理。

      • 基本— 用于 HTTP 用户代理在发出请求时提供用户名和密码。使用 Base64 编码。

        适用于 HTTP 或 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

      • Digest—用于在发送敏感信息之前确认帐户。通过网络发送用户名和密码之前,对其应用哈希函数。

        仅适用于 HTTPS 代理。

        如果选择此选项,还必须输入用户名和密码。

按照透明检查代理、进行基本验证的 HTTP 显式代理或 HTTPS 显式代理的后续步骤进行操作。

3

单击上传根证书或最终实体证书,然后导航以选择代理的根证书。

证书已上传但尚未安装,因为您必须重新启动节点才能安装证书。单击证书颁发者名称旁边的 v 形箭头可获得更多详细信息,如果您操作错误并希望重新上传文件,请单击删除

4

单击检查代理连接以测试节点和代理服务器之间的网络连接。

如果连接测试失败,您将看到一条错误消息,其中显示了错误原因以及解决方法。

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器。这种情况符合许多显式代理配置的预期。您可以继续设置,节点将以“阻止外部 DNS 解析模式”运行。如果您认为这是一个错误,请完成以下步骤,然后参阅 关闭被阻止的外部 DNS 解析模式

5

在连接测试通过后,对于设置为仅限 https 的显式代理,打开切换开关可通过显式代理路由从此节点发出的所有端口 443/444 https 请求。此设置需要 15 秒才能生效。

6

单击将所有证书安装到信任库(对 HTTPS 显式代理或透明检查代理显示)或重启(对 HTTP 显式代理显示),阅读提示,然后在准备就绪后单击安装

节点在几分钟内重启。

7

节点重启后,重新登录(如需要),然后打开概述页面以执行连接检查,确保它们均为绿色状态。

代理连接检查仅测试 webex.com 的子域。如果存在连接问题,常见问题是安装说明中列出的某些云域在代理处被阻止。

注册集群中的第一个节点

此任务采用您在 设置混合数据安全 VM中创建的通用节点,将该节点注册到 Webex 云,并将其转换为混合数据安全节点。

注册首个节点时,需要创建要将该节点分配到的集群。集群中包含出于提供冗余的目的而部署的一个或多个节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保浏览器中的所有弹出窗口阻止程序都已禁用,或者允许 admin.webex.com 例外。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在云服务部分,找到混合数据安全卡,点击 设置

4

在打开的页面中,点击 添加资源

5

添加节点 卡的第一个字段中,输入要将混合数据安全节点分配到的集群的名称。

建议您基于集群节点的地理位置来命名该集群。例如:“旧金山”或“纽约”或“达拉斯”

6

在第二个字段中,输入您的节点的内部 IP 地址或完全限定域名 (FQDN),然后单击屏幕底部的 添加

此 IP 地址或 FQDN 应与您在 设置混合数据安全 VM中使用的 IP 地址或主机名和域相匹配。

出现一条消息,表明您可以将您的节点注册到 Webex。
7

单击转至节点

片刻之后,您将被重定向到 Webex 服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此处,您确认您想要授予您的 Webex 组织访问您的节点的权限。

8

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现已注册到 Webex 云。
9

单击链接或关闭选项卡即可返回合作伙伴中心混合数据安全页面。

混合数据安全 页面上,包含您注册的节点的新集群显示在 资源 选项卡下。此节点将自动从云端下载最新的软件。

创建并注册更多节点

要向集群中添加更多节点,您只需创建更多 VM 并装载相同的配置 ISO 文件,然后进行节点注册即可。我们建议至少有 3 个节点。

准备工作

  • 开始注册节点时,您必须在 60 分钟内完成注册,否则需要重新注册。

  • 确保浏览器中的所有弹出窗口阻止程序都已禁用,或者允许 admin.webex.com 例外。

1

从 OVA 创建一个新的虚拟机,重复 安装 HDS 主机 OVA中的步骤。

2

在新虚拟机上设置初始配置,重复 设置混合数据安全虚拟机中的步骤。

3

在新虚拟机上,重复 上传和挂载 HDS 配置 ISO中的步骤。

4

如果您正在为部署设置代理,请根据新节点的需要重复 为代理集成配置 HDS 节点 中的步骤。

5

注册节点。

  1. https://admin.webex.com 中,从屏幕左侧的菜单中选择服务

  2. 在云服务部分,找到混合数据安全卡,然后单击 查看全部

    出现混合数据安全资源页面。

  3. 新创建的集群将出现在 资源 页面中。

  4. 单击集群可以查看分配给该集群的节点。

  5. 点击屏幕右侧的 添加节点

  6. 输入节点的内部 IP 地址或完全限定域名 (FQDN),然后单击 添加

    将打开一个页面,其中显示一条消息,指示您可以将节点注册到 Webex 云。片刻之后,您将被重定向到 Webex 服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此处,您确认您想要授予您的组织访问您的节点的权限。

  7. 勾选允许访问混合数据安全节点复选框,然后单击继续

    您的帐户已验证,“注册完成”消息表明您的节点现已注册到 Webex 云。

  8. 单击链接或关闭选项卡即可返回合作伙伴中心混合数据安全页面。

    合作伙伴中心屏幕底部也会出现节点已添加 弹出消息。

    您的节点已注册。

管理多租户混合数据安全的租户组织

在合作伙伴中心激活多租户 HDS

此任务确保客户组织的所有用户都可以开始利用 HDS 实现内部加密密钥和其他安全服务。

准备工作

确保您已完成具有所需节点数的多租户 HDS 集群的设置。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在云服务部分,找到混合数据安全并点击 编辑设置

4

单击 HDS 状态 卡上的 激活 HDS [

在合作伙伴中心添加租户组织

在此任务中,您将客户组织分配到混合数据安全集群。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在云服务部分,找到混合数据安全并点击 查看全部

4

单击您想要分配客户到的集群。

5

转到 已分配客户 选项卡。

6

点击 添加客户

7

从下拉菜单中选择您想要添加的客户。

8

点击 添加,客户将被添加到集群中。

9

重复步骤 6 至 8,将多个客户添加到您的集群。

10

添加客户后,单击屏幕底部的 完成

下一步

按照 使用 HDS 设置工具创建客户主密钥 (CMK) 中详细说明的方式运行 HDS 设置工具,以完成设置过程。

使用 HDS 设置工具创建客户主密钥 (CMK)

准备工作

按照 在合作伙伴中心添加租户组织中的详细说明将客户分配到适当的集群。运行 HDS 设置工具来完成新添加的客户组织的设置过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要您组织的具有完全管理员权限的合作伙伴中心帐户的凭据。

    如果 HDS 安装工具在您的环境中在代理后面运行,请在步骤 5中启动 Docker 容器时通过 Docker 环境变量提供代理设置(服务器、端口、凭据)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置 ISO 文件包含加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。无论何时进行配置更改,您都需要此文件的最新副本,例如:

    • 数据库凭据

    • 证书更新

    • 授权政策变更

  • 如果您计划加密数据库连接,请为 TLS 设置 PostgreSQL 或 SQL Server 部署。

混合数据安全设置过程会创建一个 ISO 文件。然后使用 ISO 配置混合数据安全主机。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在具有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

安装工具不支持通过 连接到本地主机 http://localhost:8080。使用 http://127.0.0.1:8080 连接到本地主机。

使用 Web 浏览器转到本地主机 http://127.0.0.1:8080,然后在提示符下输入合作伙伴中心的管理员用户名。

该工具使用用户名的第一个条目来为该帐户设置适当的环境。然后该工具会显示标准登录提示。

7

出现提示时,输入您的合作伙伴中心管理员登录凭据,然后单击 登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO 导入 页面上,单击

10

在浏览器中选择您的 ISO 文件并上传。

确保与数据库的连接以执行 CMK 管理。
11

转到 租户 CMK 管理 选项卡,您将在这里找到以下三种管理租户 CMK 的方式。

  • 为所有 ORG 创建 CMK创建 CMK - 单击屏幕顶部横幅上的此按钮,为所有新添加的组织创建 CMK。
  • 点击屏幕右侧的 管理CMK 按钮,点击 创建CMK ,为所有新添加的组织创建CMK。
  • 点击表格中特定组织的CMK管理待处理状态附近的…,然后点击 创建CMK 为该组织创建CMK。
12

CMK 创建成功后,表中的状态将从 CMK management pending 更改为 CMK managed

13

如果 CMK 创建不成功,则会显示错误。

删除租户组织

准备工作

一旦删除,客户组织的用户将无法利用 HDS 满足其加密需求,并将失去所有现有空间。在删除客户组织之前,请联系您的思科合作伙伴或客户经理。

1

登录到 https://admin.webex.com

2

从屏幕左侧的菜单中选择“服务”。

3

在云服务部分,找到混合数据安全并点击 查看全部

4

资源 选项卡上,单击您想要从中删除客户组织的集群。

5

在打开的页面中,点击 已分配的客户

6

从显示的客户组织列表中,单击要删除的客户组织右侧的 ... ,然后单击 从集群中删除

下一步

通过撤销客户组织的 CMK 来完成删除过程,如 撤销从 HDS 中删除的租户的 CMK 中所述。

撤销已从 HDS 移除的租户的 CMK。

准备工作

按照 删除租户组织中的详细说明从适当的集群中删除客户。运行 HDS 安装工具以完成已删除的客户组织的删除过程。

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要您组织的具有完全管理员权限的合作伙伴中心帐户的凭据。

    如果 HDS 设置工具在您的环境中在代理后面运行,请在步骤 5中启动 Docker 容器时通过 Docker 环境变量提供代理设置(服务器、端口、凭据)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置 ISO 文件包含加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。无论何时进行配置更改,您都需要此文件的最新副本,例如:

    • 数据库凭据

    • 证书更新

    • 授权政策变更

  • 如果您计划加密数据库连接,请为 TLS 设置 PostgreSQL 或 SQL Server 部署。

混合数据安全设置过程会创建一个 ISO 文件。然后使用 ISO 配置混合数据安全主机。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

docker rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

docker login -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

docker pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

docker pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在具有 HTTPS 代理的常规环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

6

安装工具不支持通过 连接到本地主机 http://localhost:8080。使用 http://127.0.0.1:8080 连接到本地主机。

使用 Web 浏览器转到本地主机 http://127.0.0.1:8080,然后在提示符下输入合作伙伴中心的管理员用户名。

该工具使用用户名的第一个条目来为该帐户设置适当的环境。然后该工具会显示标准登录提示。

7

出现提示时,输入您的合作伙伴中心管理员登录凭据,然后单击 登录 以允许访问混合数据安全所需的服务。

8

在“安装工具”概述页面上,单击开始

9

ISO 导入 页面上,单击

10

在浏览器中选择您的 ISO 文件并上传。

11

转到 租户 CMK 管理 选项卡,您将在这里找到以下三种管理租户 CMK 的方式。

  • 撤销所有 ORG 的 CMK撤销 CMK - 单击屏幕顶部横幅上的此按钮可撤销所有已删除的组织的 CMK。
  • 点击屏幕右侧的 管理 CMK 按钮,然后点击 撤销 CMK ,即可撤销所有已移除组织的 CMK。
  • 单击表中特定组织的 待撤销的 CMK 状态附近的 ,然后单击 撤销 CMK 以撤销该特定组织的 CMK。
12

一旦 CMK 撤销成功,客户组织将不再出现在表中。

13

如果 CMK 撤销不成功,则会显示错误。

测试混合数据安全部署

测试混合数据安全部署

使用此过程测试多租户混合数据安全加密场景。

准备工作

  • 设置多租户混合数据安全部署。

  • 确保您有权访问系统日志,以验证关键请求是否传递到您的多租户混合数据安全部署。

1

给定空间的密钥由空间创建者设置。以客户组织用户之一的身份登录 Webex 应用程序,然后创建一个空间。

如果您停用混合数据安全部署,则一旦客户端缓存的加密密钥副本被替换,用户创建的空间中的内容将不再可访问。

2

向新空间发送消息。

3

检查系统日志输出以验证密钥请求是否传递到您的混合数据安全部署。

如果新添加的客户组织的用户执行任何操作,该组织的组织 ID 将出现在日志中,这可用于验证该组织是否正在利用多租户 HDS。检查系统日志中 kms.data.orgId 的值。

  1. 要检查用户是否首先建立到 KMS 的安全通道,请过滤 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION:

    您应找到一个条目,如下所示(标识符已经缩短以便于阅读):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. 要检查用户是否从 KMS 请求现有密钥,请过滤 kms.data.method=retrievekms.data.type=KEY:

    您应找到一个条目,如下所示:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. 要检查请求创建新 KMS 密钥的用户,请过滤 kms.data.method=createkms.data.type=KEY_COLLECTION:

    您应找到一个条目,如下所示:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. 要检查在创建空间或其他受保护资源时请求创建新的 KMS 资源对象 (KRO) 的用户,请过滤 kms.data.method=createkms.data.type=RESOURCE_COLLECTION:

    您应找到一个条目,如下所示: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

监控混合数据安全的运行状况

合作伙伴中心内的状态指示器显示多租户混合数据安全部署是否正常。要获取更多主动警告,请注册电子邮件通知。当有影响服务的警报或软件升级时,您会收到通知。
1

合作伙伴中心中,从屏幕左侧的菜单中选择 服务

2

在云服务部分,找到混合数据安全并点击 编辑设置

此时会显示“混合数据安全设置”页面。
3

在“电子邮件通知”部分中,输入一个或多个电子邮件地址(用逗号分隔),然后按 Enter

管理您的 HDS 部署

管理 HDS 部署

使用此处描述的任务来管理您的混合数据安全部署。

设置集群升级计划

混合数据安全的软件升级在集群级别自动完成,从而确保所有节点始终运行相同的软件版本。根据集群的升级安排完成升级。当软件升级可用时,您可以选择在安排的升级时间之前手动升级集群。您可以设置特定的升级安排或使用缺省安排:美国洛杉矶当地时间每日凌晨 3 点。若有必要,您还可以选择推迟即将进行的升级。

要设置升级计划:

1

登录合作伙伴中心。

2

从屏幕左侧的菜单中选择“服务”。

3

在云服务部分,找到混合数据安全,点击 设置

4

在混合数据安全资源页面,选择集群。

5

点击 集群设置 选项卡。

6

在“集群设置”页面的“升级计划”下,选择升级计划的时间和时区。

注:下一可用升级的日期与时间显示在时区下。如果需要,您可以点击 推迟 24 小时将升级推迟到第二天。

更改节点配置

出于以下原因,有时可能需要更改混合数据安全节点的配置:

  • 由于过期或其他原因而需要更改 x.509 证书。

    我们不支持更改证书的 CN 域名。此域必须与用于注册集群的原始域匹配。

  • 更新数据库设置,以更改为 PostgreSQL 或 Microsoft SQL Server 数据库的副本。

    我们不支持将数据从 PostgreSQL 迁移到 Microsoft SQL Server,或将数据从 Microsoft SQL Server 迁移到 PostgreSQL。要切换数据库环境,请启动新的混合数据安全部署。

  • 创建新配置,以准备新的数据中心。

此外,出于安全考虑,混合数据安全使用有效期为 9 个月的服务帐户密码。HDS 设置工具生成这些密码后,您需要将其部署至 ISO 配置文件中的每个 HDS 节点。组织的密码快到期时,您会收到 Webex 团队发送的通知,以重设机器帐户的密码。(该电子邮件内容为“请使用机器帐户 API 来更新密码。”)如果密码尚未到期,该工具会为您提供两个选项:

  • 软重置— 新旧密码均有效期最长为 10 天。在此期限内逐步替换节点上的 ISO 文件。

  • 硬重置— 旧密码立即失效。

如果密码过期而未重设,其将影响 HDS 服务,需要立即进行硬重设并在所有节点上替换 ISO 文件。

使用此过程以生成新的配置 ISO 文件并将其应用于集群。

准备工作

  • HDS 设置工具在本地计算机上作为 Docker 容器运行。要进行访问,请运行该机器上的 Docker。设置过程需要具有合作伙伴完全管理员权限的合作伙伴中心帐户的凭据。

    如果您没有 Docker Desktop 许可证,您可以使用 Podman Desktop 运行 HDS 设置工具,执行以下步骤中的步骤 1.a 至 1.e。有关详细信息,请参阅 使用 Podman Desktop 运行 HDS 安装工具

    如果 HDS 设置工具在您的环境中在代理后面运行,请在 1.e中启动 Docker 容器时通过 Docker 环境变量提供代理设置(服务器、端口、凭据)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您需要当前配置 ISO 文件的副本,才能生成新配置。ISO 包含用于加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。在您更改配置时需要此 ISO,包括数据库凭证、证书更新或授权策略的变更。

1

使用本地计算机上的 Docker 运行 HDS 设置工具。

  1. 在机器命令行中输入适用于您环境的命令:

    在常规环境中:

    docker rmi ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

  2. 要登录 Docker 映像注册表,请输入以下内容:

    docker login -u hdscustomersro

  3. 在密码提示下,输入以下哈希:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 下载适用于您环境的最新稳定映像:

    在常规环境中:

    docker pull ciscocitg/hds-setup:stable

    在 FedRAMP 环境中:

    docker pull ciscocitg/hds-setup-fedramp:stable

    请确保在此过程中提取的是最新的设置工具。2018 年 2 月 22 日之前创建的工具版本没有密码重设屏幕。

  5. 拉取完成后,输入适用于您环境的命令:

    • 在无代理的常规环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • 在有 HTTP 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在有 HTTPS 代理的常规环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 在无代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTP 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • 在有 HTTPS 代理的 FedRAMP 环境中:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

  6. 使用浏览器连接到本地主机,http://127.0.0.1:8080

    安装工具不支持通过 连接到本地主机 http://localhost:8080。使用 http://127.0.0.1:8080 连接到本地主机。

  7. 出现提示时,输入您的合作伙伴中心客户登录凭据,然后单击 接受 继续。

  8. 导入当前的配置 ISO 文件。

  9. 根据提示完成工具并下载更新后的文件。

    要关闭安装工具,请键入 CTRL+C

  10. 在另一个数据中心为更新的文件创建备份副本。

2

如果您只有一个 HDS 节点正在运行,请创建一个新的混合数据安全节点 VM 并使用新的配置 ISO 文件进行注册。有关更详细的说明,请参阅 创建和注册更多节点

  1. 安装 HDS 主机 OVA。

  2. 设置 HDS VM。

  3. 装载更新后的配置文件。

  4. 在合作伙伴中心注册新节点。

3

对于运行旧配置文件的现有 HDS 节点,请设置 ISO 文件。请依次在每个节点上执行以下步骤,在关闭下一节点之前更新每个节点:

  1. 关闭虚拟机。

  2. 在 VMware vSphere 客户端左侧的导航窗格中,右键单击 VM,然后单击编辑设置

  3. 单击 CD/DVD Drive 1,选择从 ISO 文件挂载的选项,然后浏览到下载新配置 ISO 文件的位置。

  4. 勾选启动时连接

  5. 保存更改并启动虚拟机。

4

重复步骤 3 以更换正在运行旧配置的其余每个节点上的配置。

关闭阻止外部 DNS 解析模式

当您注册节点或检查节点的代理配置时,流程会测试 DNS 查找以及与 Cisco Webex 云的连接。如果节点的 DNS 服务器无法解析公共 DNS 名称,节点会自动进入阻止外部 DNS 解析模式。

如果您的节点能够通过内部 DNS 服务器解析公共 DNS 名称,则可以通过在每个节点上重新运行代理连接测试来关闭此模式。

准备工作

确保您的内部 DNS 服务器可以解析公共 DNS 名称,并且您的节点可以与其通信。
1

在 Web 浏览器中,打开混合数据安全节点界面(IP address/setup, 例如, https://192.0.2.0/setup), 输入您为节点设置的管理员凭据,然后单击 登录

2

转至概述(缺省页面)。

启用后,阻止外部 DNS 解析会设置为

3

转至信任库和代理页面。

4

单击检查代理连接

如果您看到一条消息指示外部 DNS 解析未成功息,节点无法访问 DNS 服务器并将保持此模式。否则,在您重启节点并返回概述页面后,阻止外部 DNS 解析应设置为“否”。

下一步

在混合数据安全集群中的每个节点上重复代理连接测试。

删除节点

按照此过程从 Webex 云中删除混合数据安全节点。从集群中删除节点后,删除虚拟机以防止进一步访问您的安全数据。
1

使用计算机上的 VMware vSphere 客户端登录到 ESXi 虚拟主机并关闭虚拟机。

2

删除节点:

  1. 登录合作伙伴中心,然后选择 服务

  2. 在混合数据安全卡片上,点击 查看全部 ,显示混合数据安全资源页面。

  3. 选择您的集群以显示其概览面板。

  4. 单击要删除的节点。

  5. 在右侧出现的面板上点击 取消注册此节点

  6. 您还可以通过单击节点右侧的 ... 并选择 删除此节点来取消注册该节点。

3

在 vSphere 客户端中,删除虚拟机。(在左侧导航窗格中,右键单击虚拟机,然后单击 删除。)

如果不删除虚拟机,请记住卸载配置 ISO 文件。如果没有 ISO 文件,您就无法使用 VM 访问您的安全数据。

使用备用数据中心进行灾难恢复

混合数据安全集群提供的最关键服务是创建和存储用于加密存储在 Webex 云中的消息和其他内容的密钥。对于组织内分配到混合数据安全的每个用户,新的密钥创建请求都会被路由到集群。集群还负责向任何有权检索密钥的用户(例如对话空间的成员)返回它所创建的密钥。

由于集群要执行提供这些密钥的关键功能,因此必须确保集群的不间断运行,并且还要对其进行合理备份。混合数据安全数据库或用于架构的配置 ISO 的丢失将导致客户内容无法恢复的丢失。为了防护此类损失的发生,必须遵循以下原则:

如果灾难导致主数据中心的 HDS 部署不可用,请按照此过程手动故障转移到备用数据中心。

准备工作

按照 删除节点中所述,从合作伙伴中心取消注册所有节点。使用针对先前处于活动状态的集群节点配置的最新 ISO 文件来执行下面提到的故障转移过程。
1

启动 HDS 安装工具并按照 为 HDS 主机创建配置 ISO中提到的步骤进行操作。

2

完成配置过程并将 ISO 文件保存在易于查找的位置。

3

在本地系统上制作 ISO 文件的备份副本。确保备份副本的安全。此文件包含针对数据库内容的主加密密钥。仅限制那些应该进行配置更改的混合数据安全管理员的访问权限。

4

在 VMware vSphere 客户端的左侧导航窗格中,右键单击 VM 并单击编辑设置

5

点击 编辑设置 >CD/DVD 驱动器 1 并选择数据存储 ISO 文件。

确保选中 已连接开机时连接 ,以便更新的配置更改可以在启动节点后生效。

6

打开 HDS 节点电源,确保至少 15 分钟内没有警报。

7

在合作伙伴中心注册节点。请参阅 注册集群中的第一个节点

8

对备用数据中心中的每个节点重复该过程。

下一步

故障转移后,如果主数据中心再次变为活动状态,则取消注册备用数据中心的节点,并重复上述配置 ISO 和注册主数据中心节点的过程。

(可选)HDS 配置后卸载 ISO

标准 HDS 配置在安装 ISO 的情况下运行。但是,一些客户不喜欢持续安装 ISO 文件。所有 HDS 节点都采用新配置后,您可以卸载 ISO 文件。

您仍然可以使用 ISO 文件来进行配置更改。当您通过安装工具创建新的 ISO 或更新 ISO 时,您必须在所有 HDS 节点上安装更新的 ISO。一旦所有节点都获取了配置更改,您就可以按照此过程再次卸载 ISO。

准备工作

将所有 HDS 节点升级到版本 2021.01.22.4720 或更高版本。

1

关闭其中一个 HDS 节点。

2

在 vCenter Server Appliance 中,选择 HDS 节点。

3

选择 编辑设置 > CD/DVD 驱动器 并取消选中 数据存储 ISO 文件

4

打开 HDS 节点电源并确保至少 20 分钟内没有警报。

5

依次对每个 HDS 节点重复此操作。

混合数据安全疑难解答

查看警告和疑难解答

如果集群中的所有节点都无法访问,或者集群运行速度太慢导致请求超时,则混合数据安全部署被视为不可用。如果用户无法访问您的混合数据安全集群,他们会遇到以下症状:

  • 无法创建新空间(无法创建新密钥)

  • 无法为以下用户解密消息和空间标题:

    • 添加到空间的新用户(无法获取密钥)

    • 空间中使用新客户端的现有用户(无法获取密钥)

  • 只要空间中的现有用户拥有加密密钥的缓存,他们就可以继续运行

重要的是您要正确监控混合数据安全集群并及时处理任何警报以避免服务中断。

提示

如果混合数据安全设置存在问题,合作伙伴中心会向组织管理员显示警报,并向配置的电子邮件地址发送电子邮件。警告涵盖了许多常见情境。

表 1. 常见问题与解决步骤

预警

操作

本地数据库访问失败。

检查数据库错误或本地网络问题。

本地数据库连接失败。

检查数据库服务器是否可用,节点配置中是否使用了正确的服务帐户凭证。

云服务访问失败。

检查节点是否可以按照 外部连接要求中指定的方式访问 Webex 服务器。

正在进行云服务注册续订。

云服务注册已停止。正在进行注册续订。

云服务注册已停止。

云服务注册已终止。正在关闭服务。

服务尚未激活。

在合作伙伴中心激活 HDS。

所配置的域与服务器证书不一致。

确保服务器证书与所配置的服务激活域相一致。

最可能的原因是证书 CN 当前已变更,现在与初始安装时所用的 CN 不同。

未能验证云服务。

检查服务帐户凭证是否准确,是否已过期。

未能打开本地密钥库文件。

检查本地密钥库文件是否完整,密码是否准确。

本地服务器证书无效。

检查服务器证书的过期日期,确认该证书是否为受信任的认证中心颁发。

无法发布指标。

检查本地网络能否访问外部云服务。

/media/configdrive/hds 目录不存在。

检查虚拟主机上的 ISO 安装配置。验证 ISO 文件是否存在,是否已配置为重新引导时进行安装,以及是否已安装成功。

已添加组织的租户组织设置尚未完成

使用 HDS 设置工具为新添加的租户组织创建 CMK 来完成设置。

已移除组织的租户组织设置尚未完成

通过撤销使用 HDS 设置工具删除的租户组织的 CMK 来完成设置。

混合数据安全疑难解答

在解决混合数据安全问题时,请遵循以下一般准则。
1

检查合作伙伴中心是否有任何警报并修复您在那里发现的任何项目。请参阅下图以供参考。

2

查看系统日志服务器输出以了解混合数据安全部署的活动。过滤“警告”和“错误”等词语以帮助排除故障。

3

联系 Cisco 支持人员

其他说明

混合数据安全的已知问题

  • 如果您关闭混合数据安全集群(通过在合作伙伴中心将其删除或关闭所有节点)、丢失配置 ISO 文件或失去对密钥库数据库的访问权限,则客户组织的 Webex App 用户将无法再使用其人员列表下使用您的 KMS 中的密钥创建的空间。针对此问题,目前我们没有解决办法或修复措施;在 HDS 服务正在处理活动用户帐户时,强烈建议您不要将其关闭。

  • 已与 KMS 建立 ECDH 连接的客户端会保持该连接一段时间(可能有一小时)。

使用 Podman Desktop 运行 HDS 设置工具

Podman 是一个免费的开源容器管理工具,它提供了运行、管理和创建容器的方法。Podman Desktop 可以从 https://podman-desktop.io/downloads下载。

  • 在本地计算机上,HDS 安装工具是以 Docker 容器的形式运行的。要访问它,请在该机器上下载并运行 Podman。设置过程需要使用具有组织完整管理员权限的 Control Hub 帐户凭证。

    如果 HDS 设置工具在您的环境中的代理后面运行,请在步骤 5 启动 Docker 容器时通过 Docker 环境变量提供代理设置(服务器、端口、凭据)。此表格提供了一些可能的环境变量:

    描述

    变量

    无身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    无身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    有身份验证的 HTTP 代理

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    有身份验证的 HTTPS 代理

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 您生成的配置 ISO 文件包含加密 PostgreSQL 或 Microsoft SQL Server 数据库的主密钥。无论何时进行配置更改,您都需要此文件的最新副本,例如:

    • 数据库凭据

    • 证书更新

    • 授权政策变更

  • 如果您计划加密数据库连接,请为 TLS 设置 PostgreSQL 或 SQL Server 部署。

混合数据安全设置过程会创建一个 ISO 文件。然后使用 ISO 配置混合数据安全主机。

1

在机器命令行中输入适用于您环境的命令:

在常规环境中:

podman rmi ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

podman rmi ciscocitg/hds-setup-fedramp:stable

此步骤会清除之前的 HDS 设置工具映像。如果没有之前的映像,它将返回一个可忽略的错误。

2

要登录 Docker 映像注册表,请输入以下内容:

podman login docker.io -u hdscustomersro
3

在密码提示下,输入以下哈希:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

下载适用于您环境的最新稳定映像:

在常规环境中:

podman pull ciscocitg/hds-setup:stable

在 FedRAMP 环境中:

podman pull ciscocitg/hds-setup-fedramp:stable
5

拉取完成后,输入适用于您环境的命令:

  • 在无代理的常规环境中:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • 在有 HTTP 代理的常规环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在具有 HTTPS 代理的常规环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 在无代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTP 代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • 在有 HTTPS 代理的 FedRAMP 环境中:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

容器运行时,您会看到“Express 服务器正在侦听端口 8080。”

下一步

按照 为 HDS 主机创建配置 ISO更改节点配置 中的其余步骤来创建或更改 ISO 配置。

将 Control Hub 中合作伙伴组织的现有单租户 HDS 部署移至 Partner Hub 中的多租户 HDS 设置

从 Control Hub 中管理的合作伙伴组织的现有单租户 HDS 部署转换为 Partner Hub 中管理的多租户 HDS 部署主要涉及停用 Control Hub 中的 HDS 服务、取消注册节点和删除集群。然后,您可以登录合作伙伴中心,注册节点,激活多租户 HDS 并将客户添加到您的集群。

术语“单租户”仅指控制中心中现有的 HDS 部署。

在 Control Hub 中停用 HDS、取消注册节点并删除集群

1

登录控制中心。在左侧窗格中,单击 混合。在混合数据安全卡上,点击 编辑设置。

2

在设置页面上,向下滚动到停用部分,然后单击 停用

3

停用后,点击 资源 选项卡。

4

资源 页面列出了您的 HDS 部署中的集群。单击一个集群,将打开一个页面,其中包含该集群下的所有节点。

5

点击右侧的 ,然后点击 注销节点。对集群中的所有节点重复该过程。

6

如果您的部署有多个集群,请重复步骤 4 和步骤 5,直到所有节点都取消注册。

7

点击 集群设置 > 消除

8

单击 确认删除 以取消注册该集群。

9

对 HDS 部署中的所有集群重复此过程。

HDS 停用、节点注销和集群删除后,Control Hub 上的混合数据服务卡底部将显示 设置未完成

在合作伙伴中心为合作伙伴组织激活多租户 HDS 并添加客户

准备工作

多租户混合数据安全要求 中提到的所有先决条件均适用于此处。此外,确保在迁移至多租户 HDS 期间使用相同的数据库和证书。

1

登录合作伙伴中心。单击左侧窗格中的 服务

使用先前 HDS 部署中的相同 ISO 来配置节点。这将确保以前现有的 HDS 部署中的用户生成的消息和内容在新的多租户设置中仍然可以访问。

2

在云服务部分,找到混合数据安全卡,点击 设置

3

在打开的页面中,点击 添加资源

4

添加节点 卡的第一个字段中,输入要将混合数据安全节点分配到的集群的名称。

建议您基于集群节点的地理位置来命名该集群。例如:“旧金山”或“纽约”或“达拉斯”

5

在第二个字段中,输入您的节点的内部 IP 地址或完全限定域名 (FQDN),然后单击屏幕底部的 添加

此 IP 地址或 FQDN 应与您在 设置混合数据安全 VM中使用的 IP 地址或主机名和域相匹配。

出现一条消息,表明您可以将您的节点注册到 Webex。
6

单击转至节点

片刻之后,您将被重定向到 Webex 服务的节点连接测试。成功完成所有测试后,将显示“允许访问混合数据安全节点”页面。在此处,您确认您想要授予您的 Webex 组织访问您的节点的权限。

7

勾选允许访问混合数据安全节点复选框,然后单击继续

您的帐户已验证,“注册完成”消息表明您的节点现已注册到 Webex 云。在 混合数据安全 页面上,包含您注册的节点的新集群显示在 资源 选项卡下。此节点将自动从云端下载最新的软件。
8

转到 设置 选项卡,然后单击HDS状态卡上的 激活

已激活 HDS 消息将显示在屏幕底部。
9

资源中,点击新创建的集群。

10

在打开的页面上,点击 已分配的客户 选项卡。

11

点击 添加客户

12

从下拉菜单中选择您想要添加的客户。

13

点击 添加,客户将被添加到集群中。

14

重复步骤 11 至 13,将多个客户添加到您的集群。

15

添加客户后,单击屏幕底部的 完成

下一步

按照 使用 HDS 设置工具创建客户主密钥 (CMK) 中详细说明的方式运行 HDS 设置工具,以完成设置过程。

利用 OpenSSL 生成 PKCS12 文件

准备工作

  • OpenSSL 是一个有用的工具,可用来以正确的格式生成 PKCS12 文件,以便载入 HDS 安装工具。您也可以通过其他方法达到相同目的,对此我们不作硬性规定或倡导。

  • 如果您确实选择使用 OpenSSL,我们将提供此过程作为指南,以帮助您创建符合 X.509 证书要求中的 X.509 证书要求的文件。继续之前,请先了解这些要求。

  • 在受支持的环境中安装 OpenSSL。有关软件和文档,请参阅https://www.openssl.org

  • 创建私有密钥。

  • 从证书颁发机构 (CA) 接收到服务器证书后,即可开始此过程。

1

当您从 CA 收到服务器证书时,将其保存为 hdsnode.pem

2

以文本形式显示证书,然后对详细信息进行验证。

openssl x509 -text -noout -in hdsnode.pem

3

使用文本编辑器创建名为 hdsnode-bundle.pem的证书包文件。捆绑包文件中必须包含服务器证书、任何中间 CA 证书和根 CA 证书,格式如下:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

创建具有友好名称 kms-private-key的 . p12 文件。

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

检查服务器证书详细信息。

  1. openssl pkcs12 -in hdsnode.p12

  2. 在系统提示时,输入密码以对私有密钥进行加密,以便在输出中列出。然后,验证私钥和第一个证书是否包含行 friendlyName: kms-private-key

    例如:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

下一步

返回 完成混合数据安全的先决条件。您将在 为 HDS 主机创建配置 ISO中使用 hdsnode.p12 文件以及为其设置的密码。

当原始证书到期时,您可以重新使用这些文件来申请新的证书。

HDS 节点和云之间的通信

出站度量收集通信

混合数据安全节点将某些指标发送到 Webex 云。这其中包括对最大的堆、已使用的堆、CPU 负载和线程数的系统度量,对同步和异步线程的度量,对使用加密连接阈值的警告、延迟或请求队列长度的度量,对数据存储的度量,以及加密连接度量。节点通过频带外(独立于请求)通道发送已加密的密钥材料。

入站流量

混合数据安全节点从 Webex 云接收以下类型的入站流量:

  • 加密服务路由的客户端加密请求

  • 对节点软件的升级

配置用于混合数据安全的 Squid 代理

Websocket 无法通过 Squid 代理连接

检查 HTTPS 流量的 Squid 代理可能会干扰混合数据安全所需的 websocket (wss:) 连接的建立。这些部分提供了有关如何配置各种版本的 Squid 来忽略 wss: 流量以确保服务正常运行的指导。

Squid 4 和 5

on_unsupported_protocol 指令添加到 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

我们通过将以下规则添加到 squid.conf成功测试了混合数据安全。随着我们不断开发功能和更新 Webex 云,这些规则可能会更改。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
这篇文章对您有帮助吗?
这篇文章对您有帮助吗?
定价Webex 应用程序MeetingsCalling消息传递屏幕共享
Webex SuiteCallingMeetings消息传递SlidoWebinarsSocioContact CenterCPaaS安全性Control Hub
耳机摄像头Desk 系列Room 系列Board 系列Phone 系列配件
教育医疗保健政府财务体育与娱乐一线员工非营利组织新兴公司混合式工作
下载加入测试会议在线课程集成辅助功能包容性直播和点播网络研讨会Webex 社区Webex 开发人员新闻和创新
Cisco联系技术支持联系销售Webex BlogWebex 思想领导力Webex 商店职业
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
条款和条件隐私权声明Cookie商标
©2025 Cisco 和/或其附属公司。保留所有权利。
条款和条件隐私权声明Cookie商标