變更混合資料安全性節點組態
機器帳戶更新
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
軟重設— 舊密碼和新密碼最多可使用 10 天。使用此時段逐步取代節點上的 ISO 檔案。
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在環境中於 Proxy 後面執行,則當啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、連接埠、認證)。此表格提供了一些可能的環境變數:
我們用於 HDS 設定工具的 Docker 存放庫已變更為ciscocitg
2022 年 12 月(從ciscosparkhds
先前)說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您需要現行設定 ISO 檔的副本才能產生新的設定。ISO包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
若您僅在執行一個 HDS 節點,建立新的「混合資料安全性」節點VM並使用新的ISO設定檔案進行註冊。有關更詳細的指示,請參閱 部署指南中的 建立和註冊更多 節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |