您可能會注意到一些文章顯示的內容不一致。請原諒我們在更新網站時的一些失誤。
cross icon
在此文章中
dropdown icon
前言
    新的和變更的資訊
    dropdown icon
    混合資料安全性入門
      混合資料安全性概觀
        dropdown icon
        安全領域架構
          分離領域(無混合資料安全性)
        與其他組織協作
          部署混合資料安全性的意外狀況
            高階設定程序
              dropdown icon
              混合資料安全性部署模型
                混合資料安全性部署模型
              混合資料安全性試用模式
                dropdown icon
                用於災害復原的備用資料中心
                  設定備用資料中心以進行災害復原
                Proxy 支援
                dropdown icon
                準備您的環境
                  dropdown icon
                  混合資料安全性的需求
                    Cisco Webex授權需求
                    Docker 桌面需求
                    X.509 憑證需求
                    虛擬主機需求
                    資料庫伺服器需求
                    外部連線需求
                    Proxy 伺服器要求
                  完成「混合資料安全性」的必要條件
                  dropdown icon
                  設定混合資料安全性叢集
                    混合資料安全性部署任務流程
                      下載安裝檔案
                        為 HDS 主機建立設定 ISO
                          安裝 HDS 主機 OVA
                            設定混合資料安全性 VM
                              上傳及裝載 HDS 設定 ISO
                                設定 HDS 節點以進行 Proxy 整合
                                  在叢集中註冊第一個節點
                                    建立並註冊更多節點
                                    dropdown icon
                                    執行試用版並移至正式作業
                                      試用到生產任務流程
                                        啟動試用版
                                          測試混合資料安全性部署
                                            監視混合資料安全性的性能
                                              在您的試用版中新增或移除使用者
                                                從試用版移至正式作業
                                                  結束試用而不移至正式作業
                                                  dropdown icon
                                                  管理您的 HDS 部署
                                                    管理 HDS 部署
                                                      設定叢集升級排程
                                                        變更節點設定
                                                          關閉封鎖的外部 DNS 解析模式
                                                            移除節點
                                                              使用待機資料中心進行災害復原
                                                                (可選)在 HDS 配置後解除掛載ISO
                                                                dropdown icon
                                                                混合資料安全性疑難排解
                                                                  檢視警示並疑難排解
                                                                    dropdown icon
                                                                    警示
                                                                      通用問題以及解決這些問題的步驟
                                                                    混合資料安全性疑難排解
                                                                    dropdown icon
                                                                    其他附註
                                                                      混合資料安全性的已知問題
                                                                        使用 OpenSSL 來產生 PKCS12 檔
                                                                          HDS 節點與雲端之間的流量
                                                                            dropdown icon
                                                                            設定 Squid Proxy 以實現混合資料安全
                                                                              Websocket 無法透過 Squid Proxy 連線
                                                                          在此文章中
                                                                          cross icon
                                                                          dropdown icon
                                                                          前言
                                                                            新的和變更的資訊
                                                                            dropdown icon
                                                                            混合資料安全性入門
                                                                              混合資料安全性概觀
                                                                                dropdown icon
                                                                                安全領域架構
                                                                                  分離領域(無混合資料安全性)
                                                                                與其他組織協作
                                                                                  部署混合資料安全性的意外狀況
                                                                                    高階設定程序
                                                                                      dropdown icon
                                                                                      混合資料安全性部署模型
                                                                                        混合資料安全性部署模型
                                                                                      混合資料安全性試用模式
                                                                                        dropdown icon
                                                                                        用於災害復原的備用資料中心
                                                                                          設定備用資料中心以進行災害復原
                                                                                        Proxy 支援
                                                                                        dropdown icon
                                                                                        準備您的環境
                                                                                          dropdown icon
                                                                                          混合資料安全性的需求
                                                                                            Cisco Webex授權需求
                                                                                            Docker 桌面需求
                                                                                            X.509 憑證需求
                                                                                            虛擬主機需求
                                                                                            資料庫伺服器需求
                                                                                            外部連線需求
                                                                                            Proxy 伺服器要求
                                                                                          完成「混合資料安全性」的必要條件
                                                                                          dropdown icon
                                                                                          設定混合資料安全性叢集
                                                                                            混合資料安全性部署任務流程
                                                                                              下載安裝檔案
                                                                                                為 HDS 主機建立設定 ISO
                                                                                                  安裝 HDS 主機 OVA
                                                                                                    設定混合資料安全性 VM
                                                                                                      上傳及裝載 HDS 設定 ISO
                                                                                                        設定 HDS 節點以進行 Proxy 整合
                                                                                                          在叢集中註冊第一個節點
                                                                                                            建立並註冊更多節點
                                                                                                            dropdown icon
                                                                                                            執行試用版並移至正式作業
                                                                                                              試用到生產任務流程
                                                                                                                啟動試用版
                                                                                                                  測試混合資料安全性部署
                                                                                                                    監視混合資料安全性的性能
                                                                                                                      在您的試用版中新增或移除使用者
                                                                                                                        從試用版移至正式作業
                                                                                                                          結束試用而不移至正式作業
                                                                                                                          dropdown icon
                                                                                                                          管理您的 HDS 部署
                                                                                                                            管理 HDS 部署
                                                                                                                              設定叢集升級排程
                                                                                                                                變更節點設定
                                                                                                                                  關閉封鎖的外部 DNS 解析模式
                                                                                                                                    移除節點
                                                                                                                                      使用待機資料中心進行災害復原
                                                                                                                                        (可選)在 HDS 配置後解除掛載ISO
                                                                                                                                        dropdown icon
                                                                                                                                        混合資料安全性疑難排解
                                                                                                                                          檢視警示並疑難排解
                                                                                                                                            dropdown icon
                                                                                                                                            警示
                                                                                                                                              通用問題以及解決這些問題的步驟
                                                                                                                                            混合資料安全性疑難排解
                                                                                                                                            dropdown icon
                                                                                                                                            其他附註
                                                                                                                                              混合資料安全性的已知問題
                                                                                                                                                使用 OpenSSL 來產生 PKCS12 檔
                                                                                                                                                  HDS 節點與雲端之間的流量
                                                                                                                                                    dropdown icon
                                                                                                                                                    設定 Squid Proxy 以實現混合資料安全
                                                                                                                                                      Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  Webex混合資料安全性部署指南

                                                                                                                                                  list-menu在此文章中
                                                                                                                                                  list-menu意見回饋?
                                                                                                                                                  前言

                                                                                                                                                  新的和變更的資訊

                                                                                                                                                  日期

                                                                                                                                                  進行的變更

                                                                                                                                                  2023 年 10 月 20 日

                                                                                                                                                  2023 年 8 月 7 日

                                                                                                                                                  2023 年 5 月 23 日

                                                                                                                                                  2022 年 12 月 6 日

                                                                                                                                                  2022 年 11 月 23 日

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  2021 年 1 月 11 日

                                                                                                                                                  新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  已更新下載安裝檔案

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態用於 FedRAMP 環境的指令。

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態登入程序變更。

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

                                                                                                                                                  已更新虛擬主機需求以移除數目上限的主機。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  已更新移除節點了解 Control Hub UI 中的變更。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  已更新外部連線需求與新的美洲 CI 主機搭配。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  已更新外部連線需求包含有關區域 CI 主機的資訊。

                                                                                                                                                  2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。
                                                                                                                                                  2020 年 2 月 4 日已更新Proxy 伺服器需求
                                                                                                                                                  2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下章節中新增了有關已封鎖外部DNS解析模式的資訊:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。

                                                                                                                                                  已相應地更新了下列章節:


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  新增SQL Server Standard 至資料庫伺服器需求

                                                                                                                                                  2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

                                                                                                                                                  若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

                                                                                                                                                  2019 年 6 月 13 日已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。
                                                                                                                                                  2019 年 3 月 6 日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB,以反映 OVA 建立的磁碟大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線,以及與具有TLS功能的 syslog 伺服器的加密記錄連線。 已更新為 HDS 主機建立設定ISO並附有指示。

                                                                                                                                                  • 從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。 表格現在引用了在下列情況下維護的Webex: Webex Teams 服務的網路要求

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合資料安全性現在支援將Microsoft SQL Server 作為資料庫。 混合資料安全性中使用的 JDBC 驅動程式支援SQL Server永遠開啟(永遠開啟故障轉移叢集和始終開啟可用性群組)。 新增了與使用SQL Server 進行部署相關的內容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。 目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

                                                                                                                                                  2018 年 11 月 5 日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  變更了術語以反映Cisco Spark的品牌更名:

                                                                                                                                                  • Cisco Spark混合資料安全性現已更名為混合資料安全性。

                                                                                                                                                  • Cisco Spark應用程式現在更名為Webex App 應用程式。

                                                                                                                                                  • Cisco Collaboration Cloud 現已更名為Webex Cloud。

                                                                                                                                                  2018 年 4 月 11 日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509 憑證需求表,指定憑證不能是萬用憑證,且 KMS 使用 CN 網域,而不是 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017 年 11 月 2 日

                                                                                                                                                  • 釐清了 Hds TrialGroup 的目錄同步。

                                                                                                                                                  • 修正了上傳ISO組態檔以掛載到VM節點的指示。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次公佈

                                                                                                                                                  混合資料安全性入門

                                                                                                                                                  混合資料安全性概觀

                                                                                                                                                  從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

                                                                                                                                                  預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。

                                                                                                                                                  安全性領域架構

                                                                                                                                                  Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

                                                                                                                                                  分離領域(無混合資料安全性)

                                                                                                                                                  為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。

                                                                                                                                                  在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:

                                                                                                                                                  1. 用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。

                                                                                                                                                  2. 訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。

                                                                                                                                                  3. 加密的訊息傳送至合規服務進行合規檢查。

                                                                                                                                                  4. 加密的訊息儲存在儲存領域中。

                                                                                                                                                  部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。

                                                                                                                                                  與其他組織協作

                                                                                                                                                  您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

                                                                                                                                                  在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。

                                                                                                                                                  對部署混合資料安全性的預期

                                                                                                                                                  混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。

                                                                                                                                                  若要部署混合資料安全性,您必須提供:

                                                                                                                                                  完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:

                                                                                                                                                  • 管理資料庫及設定ISO的備份與復原。

                                                                                                                                                  • 準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。


                                                                                                                                                   

                                                                                                                                                  沒有任何機制可在部署 HDS 後將金鑰移回雲端。

                                                                                                                                                  高階設定過程

                                                                                                                                                  此文件涵蓋「混合資料安全性」部署的設定和管理:

                                                                                                                                                  • 設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。

                                                                                                                                                    接下來的三章將詳細涵蓋設定、試用和生產階段。

                                                                                                                                                  • 維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。

                                                                                                                                                  • 了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

                                                                                                                                                  在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)

                                                                                                                                                  叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。

                                                                                                                                                  當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。

                                                                                                                                                  每個組織僅支援一個叢集。

                                                                                                                                                  混合資料安全性試用模式

                                                                                                                                                  在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。

                                                                                                                                                  如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。

                                                                                                                                                  如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。

                                                                                                                                                  用於災害復原的備用資料中心

                                                                                                                                                  在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手動故障轉換至備用資料中心

                                                                                                                                                  作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。


                                                                                                                                                   

                                                                                                                                                  作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

                                                                                                                                                  設定備用資料中心以進行災害復原

                                                                                                                                                  請遵循下列步驟來設定備用資料中心的ISO檔案:

                                                                                                                                                  準備工作

                                                                                                                                                  • 備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)

                                                                                                                                                  • 請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 以驗證節點是否處於被動模式。 您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

                                                                                                                                                  下一步

                                                                                                                                                  設定後 passiveMode 在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode 設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode 已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,

                                                                                                                                                  Proxy 支援

                                                                                                                                                  混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

                                                                                                                                                  混合資料安全節點支援以下 Proxy 選項:

                                                                                                                                                  • 無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。

                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。

                                                                                                                                                  • 透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:

                                                                                                                                                      • HTTP — 檢視並控制用戶端傳送的所有請求。

                                                                                                                                                      • HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                  混合資料安全節點和 Proxy 的範例

                                                                                                                                                  此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

                                                                                                                                                  已封鎖外部 DNS 解析模式(明確 Proxy 設定)

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

                                                                                                                                                  準備您的環境

                                                                                                                                                  混合資料安全性的需求

                                                                                                                                                  Cisco Webex授權需求

                                                                                                                                                  若要部署混合資料安全性:

                                                                                                                                                  Docker 桌面需求

                                                                                                                                                  安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。

                                                                                                                                                  X.509 憑證需求

                                                                                                                                                  憑證鏈結必須符合下列需求:

                                                                                                                                                  表 1. 混合資料安全性部署的 X.509 憑證需求

                                                                                                                                                  需求

                                                                                                                                                  詳細資訊

                                                                                                                                                  • 由受信任的憑證授權單位(CA) 簽署

                                                                                                                                                  依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱

                                                                                                                                                  • 不是萬用憑證

                                                                                                                                                  不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, hds.company.com

                                                                                                                                                  CN 不能包含 *(萬用字元)。

                                                                                                                                                  CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。

                                                                                                                                                  • 非 SHA1 簽章

                                                                                                                                                  KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。

                                                                                                                                                  • 已格式化為受密碼保護的 PKCS #12 檔案

                                                                                                                                                  • 使用的易記名稱: kms-private-key 標記憑證、私密金鑰以及要上傳的任何中間憑證。

                                                                                                                                                  您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。

                                                                                                                                                  當您執行 HDS 設定工具時,您將需要輸入密碼。

                                                                                                                                                  KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。

                                                                                                                                                  虛擬主機需求

                                                                                                                                                  您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:

                                                                                                                                                  • 至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心

                                                                                                                                                  • VMware ESXi 6.5(或更高版本)已安裝且正在執行。


                                                                                                                                                     

                                                                                                                                                    如果您具有較舊的 ESXi 版本,則必須升級。

                                                                                                                                                  • 每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

                                                                                                                                                  資料庫伺服器需求


                                                                                                                                                   

                                                                                                                                                  建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

                                                                                                                                                  資料庫伺服器有兩個選項。 每個項目的需求如下:

                                                                                                                                                  表格 2. 依資料庫類型排列資料庫伺服器需求

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • 已安裝且正在執行 PostgreSQL 14、15 或 16。

                                                                                                                                                  • 已安裝SQL Server 2016、2017 或 2019(企業版或標準版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC 驅動程式 42.2.5

                                                                                                                                                  SQL Server JDBC 驅動程式 4.6

                                                                                                                                                  此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例AlwaysOn 可用性群組)。

                                                                                                                                                  針對Microsoft SQL Server 的 Windows 驗證的其他需求

                                                                                                                                                  如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:

                                                                                                                                                  • HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。

                                                                                                                                                  • 您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。

                                                                                                                                                  • 您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。

                                                                                                                                                  • 您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱

                                                                                                                                                    HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。

                                                                                                                                                  外部連線需求

                                                                                                                                                  設定您的防火牆,以允許 HDS 應用程式進行以下連線:

                                                                                                                                                  應用程式

                                                                                                                                                  通訊協定

                                                                                                                                                  連接埠

                                                                                                                                                  來自應用程式的方向

                                                                                                                                                  目標

                                                                                                                                                  混合資料安全節點

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS 和 WSS

                                                                                                                                                  • Webex伺服器:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • 中針對混合資料安全性列出的其他 URL: Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求

                                                                                                                                                  HDS 設定工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • Hub.docker.com


                                                                                                                                                   

                                                                                                                                                  「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。

                                                                                                                                                  通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:

                                                                                                                                                  地區

                                                                                                                                                  通用身份識別主持人 URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  歐盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy 伺服器要求

                                                                                                                                                  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

                                                                                                                                                    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

                                                                                                                                                    • 明確 Proxy — Squid。


                                                                                                                                                       

                                                                                                                                                      檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性

                                                                                                                                                  • 我們支援明確 Proxy 的以下驗證類型組合:

                                                                                                                                                    • 不使用 HTTP 或 HTTPS 進行驗證

                                                                                                                                                    • 使用 HTTP 或 HTTPS 進行基本驗證

                                                                                                                                                    • 僅使用 HTTPS 進行摘要式驗證

                                                                                                                                                  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

                                                                                                                                                  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

                                                                                                                                                  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至 wbx2.comciscospark.com 將解決問題。

                                                                                                                                                  完成混合資料安全性的先決條件

                                                                                                                                                  使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。
                                                                                                                                                  1

                                                                                                                                                  確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。

                                                                                                                                                  2

                                                                                                                                                  為您的 HDS 部署選擇網域名稱(例如, hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。 憑證鏈結必須符合 X.509 憑證需求

                                                                                                                                                  3

                                                                                                                                                  準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求

                                                                                                                                                  4

                                                                                                                                                  根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。

                                                                                                                                                  1. 建立金鑰儲存用的資料庫。 (您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。)

                                                                                                                                                  2. 收集節點將用來與資料庫伺服器通訊的詳細資料:

                                                                                                                                                    • 主持人名稱或IP 位址(host) 和通訊埠

                                                                                                                                                    • 用於金鑰儲存的資料庫名稱 (dbname)

                                                                                                                                                    • 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

                                                                                                                                                  5

                                                                                                                                                  為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。

                                                                                                                                                  6

                                                                                                                                                  設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。


                                                                                                                                                   

                                                                                                                                                  因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失該內容的。

                                                                                                                                                  Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。

                                                                                                                                                  8

                                                                                                                                                  請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求

                                                                                                                                                  9

                                                                                                                                                  安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。

                                                                                                                                                  若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求

                                                                                                                                                  10

                                                                                                                                                  如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求

                                                                                                                                                  11

                                                                                                                                                  如果您的組織使用目錄同步,請在Active Directory中建立一個名為 HdsTrialGroup ,並新增試用使用者。 試用群組最多可以有 250 個使用者。 該 HdsTrialGroup 必須將物件同步到雲端,然後才能為組織開始試用服務。 若要同步群組物件,請在 Directory Connector 的 設定>物件選取功能表。 (如需詳細指示,請參閱Cisco目錄連接器的部署指南。 )


                                                                                                                                                   

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。 當使用者的應用程式重新整理其快取的內容副本時,該遺失立即變得明顯。

                                                                                                                                                  設定混合資料安全叢集

                                                                                                                                                  混合資料安全性部署任務流程

                                                                                                                                                  準備工作

                                                                                                                                                  準備您的環境

                                                                                                                                                  1

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  將 OVA 檔案下載到您的本地機器以供稍後使用。

                                                                                                                                                  2

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

                                                                                                                                                  3

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。

                                                                                                                                                  5

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

                                                                                                                                                  6

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。

                                                                                                                                                  7

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

                                                                                                                                                  8

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  完成叢集設定。

                                                                                                                                                  9

                                                                                                                                                  執行試用並移至生產(下一章)

                                                                                                                                                  在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。 您稍後將在安裝過程中使用此檔案。
                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後按一下服務

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定

                                                                                                                                                  如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。


                                                                                                                                                   

                                                                                                                                                  您也可以隨時從說明區段上的設定頁面。 在混合資料安全性卡片上,按一下編輯設定以開啟頁面。 然後,按一下下載「混合資料安全性」軟體說明區段。


                                                                                                                                                   

                                                                                                                                                  較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。 這可能會導致升級應用程式時發生問題。 請確保下載最新版本的 OVA 檔案。

                                                                                                                                                  3

                                                                                                                                                  選取以指示您尚未"安裝;設定"該節點,然後按一下下一個

                                                                                                                                                  OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
                                                                                                                                                  4

                                                                                                                                                  (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:

                                                                                                                                                    • 資料庫認證

                                                                                                                                                    • 憑證更新

                                                                                                                                                    • 授權原則的變更

                                                                                                                                                  • 如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

                                                                                                                                                  1

                                                                                                                                                  在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2

                                                                                                                                                  若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密碼提示中,輸入此雜湊:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下載適用於您環境的最新穩定映像:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  提取完成後,輸入適用於您環境的指令:

                                                                                                                                                  • 在沒有 Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  使用 Web 瀏覽器轉至 本地主機, http://127.0.0.1:8080 ,並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

                                                                                                                                                  此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。

                                                                                                                                                  7

                                                                                                                                                  提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。

                                                                                                                                                  8

                                                                                                                                                  在設定工具概觀頁上,按一下開始使用

                                                                                                                                                  9

                                                                                                                                                  ISO匯入頁面上,您有下列選項:

                                                                                                                                                  • — 如果您要建立第一個 HDS 節點,則您沒有要上傳的ISO檔案。
                                                                                                                                                  • - 如果您已建立 HDS 節點,則您在瀏覽中選取ISO檔案並上傳。
                                                                                                                                                  10

                                                                                                                                                  檢查您的 X.509 憑證是否符合X.509 憑證需求

                                                                                                                                                  • 如果您之前從未上傳過憑證,請上傳 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  • 如果您的憑證確定,請按一下繼續
                                                                                                                                                  • 如果您的憑證已過期或您要取代它,請選取繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎? 。 上傳新的 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  11

                                                                                                                                                  輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區:

                                                                                                                                                  1. 選取您的資料庫類型 PostgresMicrosoft SQL Server )。

                                                                                                                                                    如果您選擇Microsoft SQL Server ,您會獲得一個驗證類型欄位。

                                                                                                                                                  2. Microsoft SQL Server僅))選取您的驗證類型

                                                                                                                                                    • 基本驗證: 您需要一個本機SQL Server帳戶名稱,使用者名稱欄位。

                                                                                                                                                    • Windows 驗證: 您需要一個 Windows 帳戶,格式為 username@DOMAIN使用者名稱欄位。

                                                                                                                                                  3. 在以下表格中輸入資料庫伺服器位址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    範例:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果節點無法使用DNS來解析主機名稱,您可以使用IP 位址進行基本驗證。

                                                                                                                                                    如果使用的是 Windows 驗證,則必須輸入以下格式的完整網域名稱: dbhost.example.org:1433

                                                                                                                                                  4. 輸入資料庫名稱

                                                                                                                                                  5. 輸入使用者名稱密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

                                                                                                                                                  12

                                                                                                                                                  選取一個TLS資料庫連線模式

                                                                                                                                                  模式

                                                                                                                                                  說明

                                                                                                                                                  偏好使用 TLS (預設選項)

                                                                                                                                                  HDS 節點不需要使用 TLS 連線到資料庫伺服器。 若您在資料庫伺服器上啟用TLS ,節點會嘗試進行加密連線。

                                                                                                                                                  需要 TLS

                                                                                                                                                  僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者


                                                                                                                                                   

                                                                                                                                                  此模式不適用於SQL Server 資料庫。

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者和主機名稱

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  • 節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。 名稱必須完全相符,否則節點將斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。)

                                                                                                                                                  13

                                                                                                                                                  在系統記錄頁上,設定您的 Syslogd 伺服器:

                                                                                                                                                  1. 輸入 syslog 伺服器URL。

                                                                                                                                                    如果無法從 HDS 叢集的節點DNS伺服器,請在URL中使用IP 位址。

                                                                                                                                                    範例:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
                                                                                                                                                  2. 如果您將伺服器"安裝;設定"為使用TLS加密,請勾選您的 syslog 伺服器是否設定為使用SSL加密?

                                                                                                                                                    如果勾選此勾選方塊,請確保輸入一個TCP URL ,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 選擇 syslog 記錄終止下拉清單,請為您的ISO檔案選擇適當的設定: 選擇或換行用於 Graylog 和 Rsyslog TCP

                                                                                                                                                    • 空值位元組 -- \x00

                                                                                                                                                    • 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。

                                                                                                                                                  4. 按一下繼續

                                                                                                                                                  14

                                                                                                                                                  (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  按一下繼續位於重設服務帳戶密碼螢幕。

                                                                                                                                                  服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。

                                                                                                                                                  16

                                                                                                                                                  按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。

                                                                                                                                                  17

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。

                                                                                                                                                  確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  18

                                                                                                                                                  若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。


                                                                                                                                                   

                                                                                                                                                  我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  使用此流程可從 OVA 檔案建立虛擬機器。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

                                                                                                                                                  2

                                                                                                                                                  選取檔案>部署 OVF 範本

                                                                                                                                                  3

                                                                                                                                                  在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個

                                                                                                                                                  4

                                                                                                                                                  選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  選取計算資源頁面上,選擇目標計算資源,然後按一下下一個

                                                                                                                                                  執行驗證檢查。 完成後,會出現範本詳細資料。

                                                                                                                                                  6

                                                                                                                                                  驗證範本詳細資料,然後按一下下一個

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個

                                                                                                                                                  8

                                                                                                                                                  選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。

                                                                                                                                                  9

                                                                                                                                                  選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。

                                                                                                                                                  10

                                                                                                                                                  自訂範本頁面,設定下列網路設定:

                                                                                                                                                  • 主機名稱— 輸入節點的 FQDN(主機名稱和網域)或單字主機名稱。

                                                                                                                                                     
                                                                                                                                                    • 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                    • 若要確保成功註冊雲端,請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。 目前不支援大寫。

                                                                                                                                                    • FQDN 的總長度不得超過 64 個字元。

                                                                                                                                                  • IP位址— 輸入節點內部介面的IP 位址。

                                                                                                                                                     

                                                                                                                                                    您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  • 遮罩— 以點十進製表示法輸入子網路遮罩位址。 譬如, 255.255.255.0
                                                                                                                                                  • 閘道—輸入閘道IP 位址。 閘道是用作另一個網路的存取點的網路節點。
                                                                                                                                                  • DNS伺服器— 輸入以逗號分隔的DNS伺服器清單,該伺服器負責將網域名稱轉換為數字IP位址。 (最多允許 4 個DNS項目。)
                                                                                                                                                  • NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。 預設NTP伺服器可能不適用於所有企業。 您還可以使用逗號分隔的清單來輸入多個NTP伺服器。
                                                                                                                                                  • 將所有節點部署在相同的子網路或VLAN上,以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

                                                                                                                                                  如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  在節點VM上按一下滑鼠右鍵,然後選擇電源>開啟電源

                                                                                                                                                  混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。

                                                                                                                                                  疑難排解提示

                                                                                                                                                  在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。

                                                                                                                                                  1

                                                                                                                                                  在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。

                                                                                                                                                  VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
                                                                                                                                                  2

                                                                                                                                                  使用以下預設登入和密碼來登入和變更認證:

                                                                                                                                                  1. 登入: admin

                                                                                                                                                  2. 密碼: cisco

                                                                                                                                                  由於您是首次登入VM ,因此您必須變更管理員密碼。

                                                                                                                                                  3

                                                                                                                                                  如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。

                                                                                                                                                  4

                                                                                                                                                  使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  5

                                                                                                                                                  (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。

                                                                                                                                                  您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                  6

                                                                                                                                                  儲存網路組態設定並重新啟動VM以使變更生效。

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

                                                                                                                                                  準備工作

                                                                                                                                                  因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。

                                                                                                                                                  1

                                                                                                                                                  從您的電腦上傳ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,按一下 ESXi 伺服器。

                                                                                                                                                  2. 在組態標籤的硬體清單中,按一下儲存

                                                                                                                                                  3. 在資料儲存區清單中,按右鍵一下 VM 的資料儲存區,然後按一下瀏覽資料儲存區

                                                                                                                                                  4. 按一下上傳檔案圖示,然後按一下上傳檔案

                                                                                                                                                  5. 瀏覽到您在電腦上下載ISO檔案的位置,然後按一下開啟

                                                                                                                                                  6. 按一下接受上傳/下載操作警告,並關閉資料存放區對話。

                                                                                                                                                  2

                                                                                                                                                  裝載ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  2. 按一下確定接受受限編輯選項警告。

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 ,選取從資料儲存區ISO檔案裝載的選項,然後瀏覽到您上傳設定ISO檔案的位置。

                                                                                                                                                  4. 檢查已連線開啟電源時連接

                                                                                                                                                  5. 儲存變更並重新啟動虛擬機器。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

                                                                                                                                                  準備工作

                                                                                                                                                  1

                                                                                                                                                  輸入 HDS 節點設定URL https://[HDS Node IP or FQDN]/setup 在 Web 瀏覽器中,輸入您為節點"安裝;設定"的管理員認證,然後按一下 登入

                                                                                                                                                  2

                                                                                                                                                  轉至信任儲存庫和 Proxy,然後選擇一個選項:

                                                                                                                                                  • 無 Proxy — 整合 Proxy 之前的預設選項。 無需更新憑證。
                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
                                                                                                                                                  • 透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知用戶端(HDS 節點)使用哪個 Proxy 伺服器,並且此選項支援多種驗證類型。 選擇此選項後,您必須輸入以下資訊:
                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 選擇 http(檢視和控制從用戶端收到的所有請求)或 https(提供通往伺服器的通道,且用戶端接收並驗證伺服器的憑證)。 根據 Proxy 伺服器支援的內容來選擇一個選項。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅適用於 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                  針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

                                                                                                                                                  3

                                                                                                                                                  按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

                                                                                                                                                  憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

                                                                                                                                                  如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」

                                                                                                                                                  5

                                                                                                                                                  連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

                                                                                                                                                  節點會在幾分鐘內重新啟動。

                                                                                                                                                  7

                                                                                                                                                  節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

                                                                                                                                                  Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  此工作採用您在設定混合資料安全VM ,向Webex雲端註冊節點,並將其轉換為「混合資料安全性」節點。

                                                                                                                                                  註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  從螢幕左側的功能表中,選取服務

                                                                                                                                                  3

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  出現「註冊混合資料安全節點」頁。
                                                                                                                                                  4

                                                                                                                                                  選取以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。

                                                                                                                                                  我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」

                                                                                                                                                  6

                                                                                                                                                  在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                  此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM

                                                                                                                                                  將出現一則訊息,指出您可以向Webex註冊您的節點。
                                                                                                                                                  7

                                                                                                                                                  按一下移至節點。

                                                                                                                                                  8

                                                                                                                                                  按一下警告訊息中的繼續。

                                                                                                                                                  稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
                                                                                                                                                  9

                                                                                                                                                  檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                  您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  10

                                                                                                                                                  按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  若要向叢集新增其他節點,您只需建立其他 VM 並裝載相同的ISO設定檔案,然後註冊節點。 我們建議您至少有 3 個節點。

                                                                                                                                                   

                                                                                                                                                  目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA

                                                                                                                                                  2

                                                                                                                                                  在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO

                                                                                                                                                  4

                                                                                                                                                  如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。

                                                                                                                                                  5

                                                                                                                                                  註冊節點。

                                                                                                                                                  1. 輸入https://admin.webex.com,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2. 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下資源

                                                                                                                                                    出現「混合資料安全性資源」頁。
                                                                                                                                                  3. 按一下新增資源

                                                                                                                                                  4. 在第一個欄位中,選取現有叢集的名稱。

                                                                                                                                                  5. 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                    系統將顯示一則訊息,指出您可以將節點註冊到Webex雲端。
                                                                                                                                                  6. 按一下移至節點。

                                                                                                                                                    稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向組織授予權限,以存取您的節點。
                                                                                                                                                  7. 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                    您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  8. 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下一步

                                                                                                                                                  執行試用並移至生產(下一章)
                                                                                                                                                  執行試用並移至生產

                                                                                                                                                  試用到生產任務流程

                                                                                                                                                  "安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。

                                                                                                                                                  1

                                                                                                                                                  如果適用,請同步 HdsTrialGroup 群組物件。

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能開始試用。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  2

                                                                                                                                                  啟動試用服務

                                                                                                                                                  開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。

                                                                                                                                                  3

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  4

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  檢查狀態,並"安裝;設定"的電子郵件通知。

                                                                                                                                                  5

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  6

                                                                                                                                                  使用下列動作之一完成試用階段:

                                                                                                                                                  啟動試用服務

                                                                                                                                                  準備工作

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下開始試用

                                                                                                                                                  服務狀態變更為試用模式。
                                                                                                                                                  4

                                                                                                                                                  按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。

                                                                                                                                                  (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, HdsTrialGroup.)

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  使用此流程來測試「混合資料安全性」加密情境。

                                                                                                                                                  準備工作

                                                                                                                                                  • 設定您的「混合資料安全性」部署。

                                                                                                                                                  • 啟用試用服務,並新增多個試用服務使用者。

                                                                                                                                                  • 請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

                                                                                                                                                  1

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。


                                                                                                                                                   

                                                                                                                                                  如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。

                                                                                                                                                  2

                                                                                                                                                  傳送訊息至新空間。

                                                                                                                                                  3

                                                                                                                                                  檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  1. 若要檢查是否有使用者首先建立通往 KMS 的安全通道,請篩選 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION

                                                                                                                                                    您應該會找到如下所示的項目(為便於閱讀而縮短了標識符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 若要檢查是否有使用者從 KMS 請求現有金鑰,請篩選 kms.data.method=retrievekms.data.type=KEY

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 若要檢查是否有使用者請求建立新的 KMS 金鑰,請篩選 kms.data.method=createkms.data.type=KEY_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO),請篩選 kms.data.method=createkms.data.type=RESOURCE_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。 如需更主動的警示,請註冊電子郵件通知。 當發生影響服務的警報或軟體升級時,您將會收到通知。
                                                                                                                                                  1

                                                                                                                                                  輸入Control Hub ,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  隨即顯示混合資料安全性設定頁面。
                                                                                                                                                  3

                                                                                                                                                  在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  在您啟動試用服務並新增初始試用使用者集後,您可以在試用服務有效期間隨時新增或移除試用成員。

                                                                                                                                                  如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。

                                                                                                                                                  如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。

                                                                                                                                                  4

                                                                                                                                                  輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存

                                                                                                                                                  從試用服務移至生產環境

                                                                                                                                                  當您對您的部署適用於試用使用者感到滿意時,可以移至生產。 當您移至生產時,組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。 除非您在災害復原過程中停用該服務,否則您無法從生產環境移回試用模式。 重新啟動服務需要"安裝;設定"新的試用服務。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下移至生產環境

                                                                                                                                                  4

                                                                                                                                                  確認您要將所有使用者移至生產環境。

                                                                                                                                                  在不移至生產的情況下結束試用服務

                                                                                                                                                  如果在試用期間,您決定不繼續部署「混合資料安全性」,您可以停用「混合資料安全性」,這將結束試用服務,並將試用使用者移回雲端資料安全性服務。 試用使用者將失去對試用期間加密的資料的存取權。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在停用區段中,按一下停用

                                                                                                                                                  4

                                                                                                                                                  確認您要停用服務並結束試用服務。

                                                                                                                                                  管理您的 HDS 部署

                                                                                                                                                  管理 HDS 部署

                                                                                                                                                  使用這裡描述的任務來管理您的「混合資料安全性」部署。

                                                                                                                                                  設定叢集升級排程

                                                                                                                                                  混合資料安全性的軟體升級可在叢集層級自動完成,從而確保所有節點始終執行相同的軟體版本。 根據叢集的升級排程來完成升級。 當軟體升級變成可用時,您可以選擇在排定的升級時間之前手動升級叢集。 可以設定特定的升級排程,或者使用預設排程(美國每天凌晨 3:00): 美洲/洛杉磯。 必要時,也可以選擇延遲即將進行的升級。

                                                                                                                                                  若要設定升級排程:

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在概觀頁面上的混合服務下,選取混合資料安全性

                                                                                                                                                  3

                                                                                                                                                  在「混合資料安全性資源」頁上,選取叢集。

                                                                                                                                                  4

                                                                                                                                                  在右側的概觀面板中,在叢集設定下,選取叢集名稱。

                                                                                                                                                  5

                                                                                                                                                  在「設定」頁面上的「升級」下,選取升級排程的時間和時區。

                                                                                                                                                  附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。

                                                                                                                                                  變更節點組態

                                                                                                                                                  偶爾出於如下原因,您可能需要變更混合資料安全節點的設定:
                                                                                                                                                  • 由於到期或其他原因而變更 x.509 憑證。


                                                                                                                                                     

                                                                                                                                                    我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。

                                                                                                                                                  • 更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。


                                                                                                                                                     

                                                                                                                                                    我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。

                                                                                                                                                  • 建立新的設定以準備新的資料中心。

                                                                                                                                                  同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:

                                                                                                                                                  • 軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。

                                                                                                                                                  • 硬重設 — 舊密碼會立即停止作用。

                                                                                                                                                  如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。

                                                                                                                                                  使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。

                                                                                                                                                  1

                                                                                                                                                  在本端機器上使用 Docker 來執行「HDS 設定」工具。

                                                                                                                                                  1. 在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2. 若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密碼提示中,輸入此雜湊:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下載適用於您環境的最新穩定映像:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

                                                                                                                                                  5. 提取完成後,輸入適用於您環境的指令:

                                                                                                                                                    • 在沒有 Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6. 使用瀏覽器來連線 localhost,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  7. 提示時,輸入 Control Hub 客戶登入認證,然後按一下接受以繼續作業。

                                                                                                                                                  8. 匯入現行設定 ISO 檔案。

                                                                                                                                                  9. 遵循提示來完成工具並下載更新檔。

                                                                                                                                                    若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  10. 在其他資料中心中建立已更新檔案的備份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點

                                                                                                                                                  1. 安裝 HDS 主機 OVA。

                                                                                                                                                  2. 設定 HDS 虛擬機器。

                                                                                                                                                  3. 安裝已更新的設定檔案。

                                                                                                                                                  4. 在 Control Hub 中註冊新的節點。

                                                                                                                                                  3

                                                                                                                                                  針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點:

                                                                                                                                                  1. 關閉虛擬機器。

                                                                                                                                                  2. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1,選取從 ISO 檔案安裝的選項,並瀏覽至您下載新設定 ISO 檔案的位置。

                                                                                                                                                  4. 勾選開啟電源時連線

                                                                                                                                                  5. 儲存變更並開啟虛擬機器的電源。

                                                                                                                                                  4

                                                                                                                                                  重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

                                                                                                                                                  關閉封鎖的外部 DNS 解析模式

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。

                                                                                                                                                  如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

                                                                                                                                                  準備工作

                                                                                                                                                  確保您的內部 DNS 伺服器可以解析公用 DNS 名稱,而且您的節點可以與它們通訊。
                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至概觀(預設頁面)。

                                                                                                                                                  啟用時,封鎖的外部 DNS 解析設定為

                                                                                                                                                  3

                                                                                                                                                  轉至信任儲存庫和 Proxy 頁面。

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。

                                                                                                                                                  下一步

                                                                                                                                                  在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

                                                                                                                                                  移除節點

                                                                                                                                                  使用此流程從Webex雲端移除「混合資料安全性」節點。 從叢集中移除節點後,請刪除虛擬機器以防止進一步存取您的安全性資料。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。

                                                                                                                                                  2

                                                                                                                                                  移除節點:

                                                                                                                                                  1. 登入 Control Hub,然後選取服務

                                                                                                                                                  2. 在混合資料安全性卡片上,按一下檢視全部以顯示「混合資料安全性資源」頁。

                                                                                                                                                  3. 選取您的叢集以顯示其概觀面板。

                                                                                                                                                  4. 按一下開啟節點清單

                                                                                                                                                  5. 在節點標籤上,選取要移除的節點。

                                                                                                                                                  6. 按一下動作>取消註冊節點

                                                                                                                                                  3

                                                                                                                                                  在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。)

                                                                                                                                                  如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。

                                                                                                                                                  使用待機資料中心進行災害復原

                                                                                                                                                  混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。

                                                                                                                                                  因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:

                                                                                                                                                  若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。 進行此設定後,節點即可處理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。 「KMS 已設定為被動模式」不應出現在系統記錄中。

                                                                                                                                                  下一步

                                                                                                                                                  在容錯移轉後,如果主資料中心再次變為活躍狀態,請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原

                                                                                                                                                  (可選)在 HDS 配置後解除掛載ISO

                                                                                                                                                  標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

                                                                                                                                                  您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。

                                                                                                                                                  準備工作

                                                                                                                                                  將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

                                                                                                                                                  1

                                                                                                                                                  關閉其中一個 HDS 節點。

                                                                                                                                                  2

                                                                                                                                                  在 vCenter Server Appliance 中,選取 HDS 節點。

                                                                                                                                                  3

                                                                                                                                                  選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案

                                                                                                                                                  4

                                                                                                                                                  開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。

                                                                                                                                                  5

                                                                                                                                                  依次為每個 HDS 節點重複此操作。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  檢視警示和疑難排解

                                                                                                                                                  如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:

                                                                                                                                                  • 無法建立新空間(無法建立新鍵)

                                                                                                                                                  • 訊息和空間標題無法解密:

                                                                                                                                                    • 新使用者新增至空間(無法擷取金鑰)

                                                                                                                                                    • 使用新用戶端的空間中的現有使用者(無法擷取金鑰)

                                                                                                                                                  • 空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取

                                                                                                                                                  請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

                                                                                                                                                  警示

                                                                                                                                                  如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。

                                                                                                                                                  表 1. 常見問題及解決問題的步驟

                                                                                                                                                  警示

                                                                                                                                                  動作

                                                                                                                                                  本端資料庫存取失敗。

                                                                                                                                                  檢查是否存在資料庫錯誤或本地網路問題。

                                                                                                                                                  本機資料庫連線失敗。

                                                                                                                                                  檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。

                                                                                                                                                  存取雲端服務失敗。

                                                                                                                                                  檢查節點是否可以存取中指定的Webex伺服器外部連線需求

                                                                                                                                                  正在更新雲端服務註冊。

                                                                                                                                                  已刪除對雲端服務的註冊。 進行中重新註冊註冊。

                                                                                                                                                  雲端服務註冊已刪除。

                                                                                                                                                  向雲端服務的註冊已終止。 服務正在關閉。

                                                                                                                                                  服務尚未啟動。

                                                                                                                                                  啟用試用服務,或完成將試用服務移至生產環境。

                                                                                                                                                  設定的網域與伺服器憑證不相符。

                                                                                                                                                  請確保您的伺服器憑證符合設定的服務啟動網域。

                                                                                                                                                  最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。

                                                                                                                                                  無法針對雲端服務進行驗證。

                                                                                                                                                  檢查服務帳戶認證的準確性及是否可能過期。

                                                                                                                                                  無法開啟本機金鑰儲存區檔案。

                                                                                                                                                  檢查本機金鑰存放區檔案的完整性和密碼準確度。

                                                                                                                                                  本機伺服器憑證無效。

                                                                                                                                                  檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。

                                                                                                                                                  無法公佈指標。

                                                                                                                                                  檢查對外部雲端服務的本地網路存取。

                                                                                                                                                  /media/configDrive/hds 目錄不存在。

                                                                                                                                                  檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  當對混合資料安全性問題進行疑難排解時,請使用以下一般準則。
                                                                                                                                                  1

                                                                                                                                                  複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。

                                                                                                                                                  2

                                                                                                                                                  複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。

                                                                                                                                                  3

                                                                                                                                                  聯絡Cisco 支援

                                                                                                                                                  其他附註

                                                                                                                                                  混合資料安全性的已知問題

                                                                                                                                                  • 如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。

                                                                                                                                                  • 與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。

                                                                                                                                                    當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。

                                                                                                                                                  使用 OpenSSL 產生 PKCS12 檔案

                                                                                                                                                  準備工作

                                                                                                                                                  • OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。

                                                                                                                                                  • 如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。

                                                                                                                                                  • 在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。

                                                                                                                                                  • 建立私密金鑰。

                                                                                                                                                  • 當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。

                                                                                                                                                  1

                                                                                                                                                  當您從 CA 收到伺服器憑證時,將其另存為 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  將憑證顯示為文字,並驗證詳細資料。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文字編輯器建立一個名為 hdsnode-bundle.pem 。 組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證,格式如下:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用易記名稱建立 .p12 檔案 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  檢查伺服器憑證詳細資料。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示時輸入密碼以加密私密金鑰,使其在輸出中列出。 然後,驗證私密金鑰和第一個憑證是否包含以下行 friendlyName: kms-private-key

                                                                                                                                                    範例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。

                                                                                                                                                  HDS 節點與雲端之間的流量

                                                                                                                                                  輸出指標收集流量

                                                                                                                                                  混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。

                                                                                                                                                  入埠流量

                                                                                                                                                  混合資料安全性節點從Webex雲端接收以下類型的入埠流量:

                                                                                                                                                  • 來自用戶端的加密請求,由加密服務路由

                                                                                                                                                  • 升級至節點軟體

                                                                                                                                                  設定 Squid Proxy 以實現混合資料安全

                                                                                                                                                  Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss: 流量,從而確保服務正確運作。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  新增 on_unsupported_protocol 指示為 squid.conf

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf 。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新的和變更的資訊

                                                                                                                                                  日期

                                                                                                                                                  進行的變更

                                                                                                                                                  2023 年 10 月 20 日

                                                                                                                                                  2023 年 8 月 7 日

                                                                                                                                                  2023 年 5 月 23 日

                                                                                                                                                  2022 年 12 月 6 日

                                                                                                                                                  2022 年 11 月 23 日

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  2021 年 1 月 11 日

                                                                                                                                                  新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  已更新下載安裝檔案

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態用於 FedRAMP 環境的指令。

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態登入程序變更。

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

                                                                                                                                                  已更新虛擬主機需求以移除數目上限的主機。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  已更新移除節點了解 Control Hub UI 中的變更。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  已更新外部連線需求與新的美洲 CI 主機搭配。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  已更新外部連線需求包含有關區域 CI 主機的資訊。

                                                                                                                                                  2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。
                                                                                                                                                  2020 年 2 月 4 日已更新Proxy 伺服器需求
                                                                                                                                                  2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下章節中新增了有關已封鎖外部DNS解析模式的資訊:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。

                                                                                                                                                  已相應地更新了下列章節:


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  新增SQL Server Standard 至資料庫伺服器需求

                                                                                                                                                  2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

                                                                                                                                                  若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

                                                                                                                                                  2019 年 6 月 13 日已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。
                                                                                                                                                  2019 年 3 月 6 日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB,以反映 OVA 建立的磁碟大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線,以及與具有TLS功能的 syslog 伺服器的加密記錄連線。 已更新為 HDS 主機建立設定ISO並附有指示。

                                                                                                                                                  • 從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。 表格現在引用了在下列情況下維護的Webex: Webex Teams 服務的網路要求

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合資料安全性現在支援將Microsoft SQL Server 作為資料庫。 混合資料安全性中使用的 JDBC 驅動程式支援SQL Server永遠開啟(永遠開啟故障轉移叢集和始終開啟可用性群組)。 新增了與使用SQL Server 進行部署相關的內容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。 目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

                                                                                                                                                  2018 年 11 月 5 日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  變更了術語以反映Cisco Spark的品牌更名:

                                                                                                                                                  • Cisco Spark混合資料安全性現已更名為混合資料安全性。

                                                                                                                                                  • Cisco Spark應用程式現在更名為Webex App 應用程式。

                                                                                                                                                  • Cisco Collaboration Cloud 現已更名為Webex Cloud。

                                                                                                                                                  2018 年 4 月 11 日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509 憑證需求表,指定憑證不能是萬用憑證,且 KMS 使用 CN 網域,而不是 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017 年 11 月 2 日

                                                                                                                                                  • 釐清了 Hds TrialGroup 的目錄同步。

                                                                                                                                                  • 修正了上傳ISO組態檔以掛載到VM節點的指示。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次公佈

                                                                                                                                                  混合資料安全性入門

                                                                                                                                                  混合資料安全性概觀

                                                                                                                                                  從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

                                                                                                                                                  預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。

                                                                                                                                                  安全性領域架構

                                                                                                                                                  Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

                                                                                                                                                  分離領域(無混合資料安全性)

                                                                                                                                                  為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。

                                                                                                                                                  在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:

                                                                                                                                                  1. 用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。

                                                                                                                                                  2. 訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。

                                                                                                                                                  3. 加密的訊息傳送至合規服務進行合規檢查。

                                                                                                                                                  4. 加密的訊息儲存在儲存領域中。

                                                                                                                                                  部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。

                                                                                                                                                  與其他組織協作

                                                                                                                                                  您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

                                                                                                                                                  在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。

                                                                                                                                                  對部署混合資料安全性的預期

                                                                                                                                                  混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。

                                                                                                                                                  若要部署混合資料安全性,您必須提供:

                                                                                                                                                  完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:

                                                                                                                                                  • 管理資料庫及設定ISO的備份與復原。

                                                                                                                                                  • 準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。


                                                                                                                                                   

                                                                                                                                                  沒有任何機制可在部署 HDS 後將金鑰移回雲端。

                                                                                                                                                  高階設定過程

                                                                                                                                                  此文件涵蓋「混合資料安全性」部署的設定和管理:

                                                                                                                                                  • 設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。

                                                                                                                                                    接下來的三章將詳細涵蓋設定、試用和生產階段。

                                                                                                                                                  • 維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。

                                                                                                                                                  • 了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

                                                                                                                                                  在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)

                                                                                                                                                  叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。

                                                                                                                                                  當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。

                                                                                                                                                  每個組織僅支援一個叢集。

                                                                                                                                                  混合資料安全性試用模式

                                                                                                                                                  在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。

                                                                                                                                                  如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。

                                                                                                                                                  如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。

                                                                                                                                                  用於災害復原的備用資料中心

                                                                                                                                                  在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手動故障轉換至備用資料中心

                                                                                                                                                  作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。


                                                                                                                                                   

                                                                                                                                                  作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

                                                                                                                                                  設定備用資料中心以進行災害復原

                                                                                                                                                  請遵循下列步驟來設定備用資料中心的ISO檔案:

                                                                                                                                                  準備工作

                                                                                                                                                  • 備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)

                                                                                                                                                  • 請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 以驗證節點是否處於被動模式。 您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

                                                                                                                                                  下一步

                                                                                                                                                  設定後 passiveMode 在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode 設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode 已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,

                                                                                                                                                  Proxy 支援

                                                                                                                                                  混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

                                                                                                                                                  混合資料安全節點支援以下 Proxy 選項:

                                                                                                                                                  • 無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。

                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。

                                                                                                                                                  • 透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:

                                                                                                                                                      • HTTP — 檢視並控制用戶端傳送的所有請求。

                                                                                                                                                      • HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                  混合資料安全節點和 Proxy 的範例

                                                                                                                                                  此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

                                                                                                                                                  已封鎖外部 DNS 解析模式(明確 Proxy 設定)

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

                                                                                                                                                  準備您的環境

                                                                                                                                                  混合資料安全性的需求

                                                                                                                                                  Cisco Webex授權需求

                                                                                                                                                  若要部署混合資料安全性:

                                                                                                                                                  Docker 桌面需求

                                                                                                                                                  安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。

                                                                                                                                                  X.509 憑證需求

                                                                                                                                                  憑證鏈結必須符合下列需求:

                                                                                                                                                  表 1. 混合資料安全性部署的 X.509 憑證需求

                                                                                                                                                  需求

                                                                                                                                                  詳細資訊

                                                                                                                                                  • 由受信任的憑證授權單位(CA) 簽署

                                                                                                                                                  依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱

                                                                                                                                                  • 不是萬用憑證

                                                                                                                                                  不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, hds.company.com

                                                                                                                                                  CN 不能包含 *(萬用字元)。

                                                                                                                                                  CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。

                                                                                                                                                  • 非 SHA1 簽章

                                                                                                                                                  KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。

                                                                                                                                                  • 已格式化為受密碼保護的 PKCS #12 檔案

                                                                                                                                                  • 使用的易記名稱: kms-private-key 標記憑證、私密金鑰以及要上傳的任何中間憑證。

                                                                                                                                                  您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。

                                                                                                                                                  當您執行 HDS 設定工具時,您將需要輸入密碼。

                                                                                                                                                  KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。

                                                                                                                                                  虛擬主機需求

                                                                                                                                                  您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:

                                                                                                                                                  • 至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心

                                                                                                                                                  • VMware ESXi 6.5(或更高版本)已安裝且正在執行。


                                                                                                                                                     

                                                                                                                                                    如果您具有較舊的 ESXi 版本,則必須升級。

                                                                                                                                                  • 每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

                                                                                                                                                  資料庫伺服器需求


                                                                                                                                                   

                                                                                                                                                  建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

                                                                                                                                                  資料庫伺服器有兩個選項。 每個項目的需求如下:

                                                                                                                                                  表格 2. 依資料庫類型排列資料庫伺服器需求

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • 已安裝且正在執行 PostgreSQL 14、15 或 16。

                                                                                                                                                  • 已安裝SQL Server 2016、2017 或 2019(企業版或標準版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC 驅動程式 42.2.5

                                                                                                                                                  SQL Server JDBC 驅動程式 4.6

                                                                                                                                                  此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例AlwaysOn 可用性群組)。

                                                                                                                                                  針對Microsoft SQL Server 的 Windows 驗證的其他需求

                                                                                                                                                  如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:

                                                                                                                                                  • HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。

                                                                                                                                                  • 您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。

                                                                                                                                                  • 您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。

                                                                                                                                                  • 您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱

                                                                                                                                                    HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。

                                                                                                                                                  外部連線需求

                                                                                                                                                  設定您的防火牆,以允許 HDS 應用程式進行以下連線:

                                                                                                                                                  應用程式

                                                                                                                                                  通訊協定

                                                                                                                                                  連接埠

                                                                                                                                                  來自應用程式的方向

                                                                                                                                                  目標

                                                                                                                                                  混合資料安全節點

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS 和 WSS

                                                                                                                                                  • Webex伺服器:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • 中針對混合資料安全性列出的其他 URL: Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求

                                                                                                                                                  HDS 設定工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • Hub.docker.com


                                                                                                                                                   

                                                                                                                                                  「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。

                                                                                                                                                  通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:

                                                                                                                                                  地區

                                                                                                                                                  通用身份識別主持人 URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  歐盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy 伺服器要求

                                                                                                                                                  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

                                                                                                                                                    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

                                                                                                                                                    • 明確 Proxy — Squid。


                                                                                                                                                       

                                                                                                                                                      檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性

                                                                                                                                                  • 我們支援明確 Proxy 的以下驗證類型組合:

                                                                                                                                                    • 不使用 HTTP 或 HTTPS 進行驗證

                                                                                                                                                    • 使用 HTTP 或 HTTPS 進行基本驗證

                                                                                                                                                    • 僅使用 HTTPS 進行摘要式驗證

                                                                                                                                                  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

                                                                                                                                                  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

                                                                                                                                                  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至 wbx2.comciscospark.com 將解決問題。

                                                                                                                                                  完成混合資料安全性的先決條件

                                                                                                                                                  使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。
                                                                                                                                                  1

                                                                                                                                                  確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。

                                                                                                                                                  2

                                                                                                                                                  為您的 HDS 部署選擇網域名稱(例如, hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。 憑證鏈結必須符合 X.509 憑證需求

                                                                                                                                                  3

                                                                                                                                                  準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求

                                                                                                                                                  4

                                                                                                                                                  根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。

                                                                                                                                                  1. 建立金鑰儲存用的資料庫。 (您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。)

                                                                                                                                                  2. 收集節點將用來與資料庫伺服器通訊的詳細資料:

                                                                                                                                                    • 主持人名稱或IP 位址(host) 和通訊埠

                                                                                                                                                    • 用於金鑰儲存的資料庫名稱 (dbname)

                                                                                                                                                    • 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

                                                                                                                                                  5

                                                                                                                                                  為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。

                                                                                                                                                  6

                                                                                                                                                  設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。


                                                                                                                                                   

                                                                                                                                                  因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失該內容的。

                                                                                                                                                  Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。

                                                                                                                                                  8

                                                                                                                                                  請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求

                                                                                                                                                  9

                                                                                                                                                  安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。

                                                                                                                                                  若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求

                                                                                                                                                  10

                                                                                                                                                  如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求

                                                                                                                                                  11

                                                                                                                                                  如果您的組織使用目錄同步,請在Active Directory中建立一個名為 HdsTrialGroup ,並新增試用使用者。 試用群組最多可以有 250 個使用者。 該 HdsTrialGroup 必須將物件同步到雲端,然後才能為組織開始試用服務。 若要同步群組物件,請在 Directory Connector 的 設定>物件選取功能表。 (如需詳細指示,請參閱Cisco目錄連接器的部署指南。 )


                                                                                                                                                   

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。 當使用者的應用程式重新整理其快取的內容副本時,該遺失立即變得明顯。

                                                                                                                                                  設定混合資料安全叢集

                                                                                                                                                  混合資料安全性部署任務流程

                                                                                                                                                  準備工作

                                                                                                                                                  準備您的環境

                                                                                                                                                  1

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  將 OVA 檔案下載到您的本地機器以供稍後使用。

                                                                                                                                                  2

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

                                                                                                                                                  3

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。

                                                                                                                                                  5

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

                                                                                                                                                  6

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。

                                                                                                                                                  7

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

                                                                                                                                                  8

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  完成叢集設定。

                                                                                                                                                  9

                                                                                                                                                  執行試用並移至生產(下一章)

                                                                                                                                                  在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。 您稍後將在安裝過程中使用此檔案。
                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後按一下服務

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定

                                                                                                                                                  如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。


                                                                                                                                                   

                                                                                                                                                  您也可以隨時從說明區段上的設定頁面。 在混合資料安全性卡片上,按一下編輯設定以開啟頁面。 然後,按一下下載「混合資料安全性」軟體說明區段。


                                                                                                                                                   

                                                                                                                                                  較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。 這可能會導致升級應用程式時發生問題。 請確保下載最新版本的 OVA 檔案。

                                                                                                                                                  3

                                                                                                                                                  選取以指示您尚未"安裝;設定"該節點,然後按一下下一個

                                                                                                                                                  OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
                                                                                                                                                  4

                                                                                                                                                  (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:

                                                                                                                                                    • 資料庫認證

                                                                                                                                                    • 憑證更新

                                                                                                                                                    • 授權原則的變更

                                                                                                                                                  • 如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

                                                                                                                                                  1

                                                                                                                                                  在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2

                                                                                                                                                  若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密碼提示中,輸入此雜湊:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下載適用於您環境的最新穩定映像:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  提取完成後,輸入適用於您環境的指令:

                                                                                                                                                  • 在沒有 Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  使用 Web 瀏覽器轉至 本地主機, http://127.0.0.1:8080 ,並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

                                                                                                                                                  此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。

                                                                                                                                                  7

                                                                                                                                                  提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。

                                                                                                                                                  8

                                                                                                                                                  在設定工具概觀頁上,按一下開始使用

                                                                                                                                                  9

                                                                                                                                                  ISO匯入頁面上,您有下列選項:

                                                                                                                                                  • — 如果您要建立第一個 HDS 節點,則您沒有要上傳的ISO檔案。
                                                                                                                                                  • - 如果您已建立 HDS 節點,則您在瀏覽中選取ISO檔案並上傳。
                                                                                                                                                  10

                                                                                                                                                  檢查您的 X.509 憑證是否符合X.509 憑證需求

                                                                                                                                                  • 如果您之前從未上傳過憑證,請上傳 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  • 如果您的憑證確定,請按一下繼續
                                                                                                                                                  • 如果您的憑證已過期或您要取代它,請選取繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎? 。 上傳新的 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  11

                                                                                                                                                  輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區:

                                                                                                                                                  1. 選取您的資料庫類型 PostgresMicrosoft SQL Server )。

                                                                                                                                                    如果您選擇Microsoft SQL Server ,您會獲得一個驗證類型欄位。

                                                                                                                                                  2. Microsoft SQL Server僅))選取您的驗證類型

                                                                                                                                                    • 基本驗證: 您需要一個本機SQL Server帳戶名稱,使用者名稱欄位。

                                                                                                                                                    • Windows 驗證: 您需要一個 Windows 帳戶,格式為 username@DOMAIN使用者名稱欄位。

                                                                                                                                                  3. 在以下表格中輸入資料庫伺服器位址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    範例:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果節點無法使用DNS來解析主機名稱,您可以使用IP 位址進行基本驗證。

                                                                                                                                                    如果使用的是 Windows 驗證,則必須輸入以下格式的完整網域名稱: dbhost.example.org:1433

                                                                                                                                                  4. 輸入資料庫名稱

                                                                                                                                                  5. 輸入使用者名稱密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

                                                                                                                                                  12

                                                                                                                                                  選取一個TLS資料庫連線模式

                                                                                                                                                  模式

                                                                                                                                                  說明

                                                                                                                                                  偏好使用 TLS (預設選項)

                                                                                                                                                  HDS 節點不需要使用 TLS 連線到資料庫伺服器。 若您在資料庫伺服器上啟用TLS ,節點會嘗試進行加密連線。

                                                                                                                                                  需要 TLS

                                                                                                                                                  僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者


                                                                                                                                                   

                                                                                                                                                  此模式不適用於SQL Server 資料庫。

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者和主機名稱

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  • 節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。 名稱必須完全相符,否則節點將斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。)

                                                                                                                                                  13

                                                                                                                                                  在系統記錄頁上,設定您的 Syslogd 伺服器:

                                                                                                                                                  1. 輸入 syslog 伺服器URL。

                                                                                                                                                    如果無法從 HDS 叢集的節點DNS伺服器,請在URL中使用IP 位址。

                                                                                                                                                    範例:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
                                                                                                                                                  2. 如果您將伺服器"安裝;設定"為使用TLS加密,請勾選您的 syslog 伺服器是否設定為使用SSL加密?

                                                                                                                                                    如果勾選此勾選方塊,請確保輸入一個TCP URL ,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 選擇 syslog 記錄終止下拉清單,請為您的ISO檔案選擇適當的設定: 選擇或換行用於 Graylog 和 Rsyslog TCP

                                                                                                                                                    • 空值位元組 -- \x00

                                                                                                                                                    • 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。

                                                                                                                                                  4. 按一下繼續

                                                                                                                                                  14

                                                                                                                                                  (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  按一下繼續位於重設服務帳戶密碼螢幕。

                                                                                                                                                  服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。

                                                                                                                                                  16

                                                                                                                                                  按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。

                                                                                                                                                  17

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。

                                                                                                                                                  確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  18

                                                                                                                                                  若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。


                                                                                                                                                   

                                                                                                                                                  我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  使用此流程可從 OVA 檔案建立虛擬機器。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

                                                                                                                                                  2

                                                                                                                                                  選取檔案>部署 OVF 範本

                                                                                                                                                  3

                                                                                                                                                  在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個

                                                                                                                                                  4

                                                                                                                                                  選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  選取計算資源頁面上,選擇目標計算資源,然後按一下下一個

                                                                                                                                                  執行驗證檢查。 完成後,會出現範本詳細資料。

                                                                                                                                                  6

                                                                                                                                                  驗證範本詳細資料,然後按一下下一個

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個

                                                                                                                                                  8

                                                                                                                                                  選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。

                                                                                                                                                  9

                                                                                                                                                  選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。

                                                                                                                                                  10

                                                                                                                                                  自訂範本頁面,設定下列網路設定:

                                                                                                                                                  • 主機名稱— 輸入節點的 FQDN(主機名稱和網域)或單字主機名稱。

                                                                                                                                                     
                                                                                                                                                    • 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                    • 若要確保成功註冊雲端,請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。 目前不支援大寫。

                                                                                                                                                    • FQDN 的總長度不得超過 64 個字元。

                                                                                                                                                  • IP位址— 輸入節點內部介面的IP 位址。

                                                                                                                                                     

                                                                                                                                                    您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  • 遮罩— 以點十進製表示法輸入子網路遮罩位址。 譬如, 255.255.255.0
                                                                                                                                                  • 閘道—輸入閘道IP 位址。 閘道是用作另一個網路的存取點的網路節點。
                                                                                                                                                  • DNS伺服器— 輸入以逗號分隔的DNS伺服器清單,該伺服器負責將網域名稱轉換為數字IP位址。 (最多允許 4 個DNS項目。)
                                                                                                                                                  • NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。 預設NTP伺服器可能不適用於所有企業。 您還可以使用逗號分隔的清單來輸入多個NTP伺服器。
                                                                                                                                                  • 將所有節點部署在相同的子網路或VLAN上,以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

                                                                                                                                                  如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  在節點VM上按一下滑鼠右鍵,然後選擇電源>開啟電源

                                                                                                                                                  混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。

                                                                                                                                                  疑難排解提示

                                                                                                                                                  在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。

                                                                                                                                                  1

                                                                                                                                                  在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。

                                                                                                                                                  VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
                                                                                                                                                  2

                                                                                                                                                  使用以下預設登入和密碼來登入和變更認證:

                                                                                                                                                  1. 登入: admin

                                                                                                                                                  2. 密碼: cisco

                                                                                                                                                  由於您是首次登入VM ,因此您必須變更管理員密碼。

                                                                                                                                                  3

                                                                                                                                                  如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。

                                                                                                                                                  4

                                                                                                                                                  使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  5

                                                                                                                                                  (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。

                                                                                                                                                  您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                  6

                                                                                                                                                  儲存網路組態設定並重新啟動VM以使變更生效。

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

                                                                                                                                                  準備工作

                                                                                                                                                  因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。

                                                                                                                                                  1

                                                                                                                                                  從您的電腦上傳ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,按一下 ESXi 伺服器。

                                                                                                                                                  2. 在組態標籤的硬體清單中,按一下儲存

                                                                                                                                                  3. 在資料儲存區清單中,按右鍵一下 VM 的資料儲存區,然後按一下瀏覽資料儲存區

                                                                                                                                                  4. 按一下上傳檔案圖示,然後按一下上傳檔案

                                                                                                                                                  5. 瀏覽到您在電腦上下載ISO檔案的位置,然後按一下開啟

                                                                                                                                                  6. 按一下接受上傳/下載操作警告,並關閉資料存放區對話。

                                                                                                                                                  2

                                                                                                                                                  裝載ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  2. 按一下確定接受受限編輯選項警告。

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 ,選取從資料儲存區ISO檔案裝載的選項,然後瀏覽到您上傳設定ISO檔案的位置。

                                                                                                                                                  4. 檢查已連線開啟電源時連接

                                                                                                                                                  5. 儲存變更並重新啟動虛擬機器。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

                                                                                                                                                  準備工作

                                                                                                                                                  1

                                                                                                                                                  輸入 HDS 節點設定URL https://[HDS Node IP or FQDN]/setup 在 Web 瀏覽器中,輸入您為節點"安裝;設定"的管理員認證,然後按一下 登入

                                                                                                                                                  2

                                                                                                                                                  轉至信任儲存庫和 Proxy,然後選擇一個選項:

                                                                                                                                                  • 無 Proxy — 整合 Proxy 之前的預設選項。 無需更新憑證。
                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
                                                                                                                                                  • 透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知用戶端(HDS 節點)使用哪個 Proxy 伺服器,並且此選項支援多種驗證類型。 選擇此選項後,您必須輸入以下資訊:
                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 選擇 http(檢視和控制從用戶端收到的所有請求)或 https(提供通往伺服器的通道,且用戶端接收並驗證伺服器的憑證)。 根據 Proxy 伺服器支援的內容來選擇一個選項。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅適用於 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                  針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

                                                                                                                                                  3

                                                                                                                                                  按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

                                                                                                                                                  憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

                                                                                                                                                  如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」

                                                                                                                                                  5

                                                                                                                                                  連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

                                                                                                                                                  節點會在幾分鐘內重新啟動。

                                                                                                                                                  7

                                                                                                                                                  節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

                                                                                                                                                  Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  此工作採用您在設定混合資料安全VM ,向Webex雲端註冊節點,並將其轉換為「混合資料安全性」節點。

                                                                                                                                                  註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  從螢幕左側的功能表中,選取服務

                                                                                                                                                  3

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  出現「註冊混合資料安全節點」頁。
                                                                                                                                                  4

                                                                                                                                                  選取以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。

                                                                                                                                                  我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」

                                                                                                                                                  6

                                                                                                                                                  在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                  此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM

                                                                                                                                                  將出現一則訊息,指出您可以向Webex註冊您的節點。
                                                                                                                                                  7

                                                                                                                                                  按一下移至節點。

                                                                                                                                                  8

                                                                                                                                                  按一下警告訊息中的繼續。

                                                                                                                                                  稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
                                                                                                                                                  9

                                                                                                                                                  檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                  您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  10

                                                                                                                                                  按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  若要向叢集新增其他節點,您只需建立其他 VM 並裝載相同的ISO設定檔案,然後註冊節點。 我們建議您至少有 3 個節點。

                                                                                                                                                   

                                                                                                                                                  目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA

                                                                                                                                                  2

                                                                                                                                                  在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO

                                                                                                                                                  4

                                                                                                                                                  如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。

                                                                                                                                                  5

                                                                                                                                                  註冊節點。

                                                                                                                                                  1. 輸入https://admin.webex.com,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2. 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下資源

                                                                                                                                                    出現「混合資料安全性資源」頁。
                                                                                                                                                  3. 按一下新增資源

                                                                                                                                                  4. 在第一個欄位中,選取現有叢集的名稱。

                                                                                                                                                  5. 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                    系統將顯示一則訊息,指出您可以將節點註冊到Webex雲端。
                                                                                                                                                  6. 按一下移至節點。

                                                                                                                                                    稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向組織授予權限,以存取您的節點。
                                                                                                                                                  7. 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                    您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  8. 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下一步

                                                                                                                                                  執行試用並移至生產(下一章)
                                                                                                                                                  執行試用並移至生產

                                                                                                                                                  試用到生產任務流程

                                                                                                                                                  "安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。

                                                                                                                                                  1

                                                                                                                                                  如果適用,請同步 HdsTrialGroup 群組物件。

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能開始試用。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  2

                                                                                                                                                  啟動試用服務

                                                                                                                                                  開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。

                                                                                                                                                  3

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  4

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  檢查狀態,並"安裝;設定"的電子郵件通知。

                                                                                                                                                  5

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  6

                                                                                                                                                  使用下列動作之一完成試用階段:

                                                                                                                                                  啟動試用服務

                                                                                                                                                  準備工作

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下開始試用

                                                                                                                                                  服務狀態變更為試用模式。
                                                                                                                                                  4

                                                                                                                                                  按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。

                                                                                                                                                  (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, HdsTrialGroup.)

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  使用此流程來測試「混合資料安全性」加密情境。

                                                                                                                                                  準備工作

                                                                                                                                                  • 設定您的「混合資料安全性」部署。

                                                                                                                                                  • 啟用試用服務,並新增多個試用服務使用者。

                                                                                                                                                  • 請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

                                                                                                                                                  1

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。


                                                                                                                                                   

                                                                                                                                                  如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。

                                                                                                                                                  2

                                                                                                                                                  傳送訊息至新空間。

                                                                                                                                                  3

                                                                                                                                                  檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  1. 若要檢查是否有使用者首先建立通往 KMS 的安全通道,請篩選 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION

                                                                                                                                                    您應該會找到如下所示的項目(為便於閱讀而縮短了標識符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 若要檢查是否有使用者從 KMS 請求現有金鑰,請篩選 kms.data.method=retrievekms.data.type=KEY

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 若要檢查是否有使用者請求建立新的 KMS 金鑰,請篩選 kms.data.method=createkms.data.type=KEY_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO),請篩選 kms.data.method=createkms.data.type=RESOURCE_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。 如需更主動的警示,請註冊電子郵件通知。 當發生影響服務的警報或軟體升級時,您將會收到通知。
                                                                                                                                                  1

                                                                                                                                                  輸入Control Hub ,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  隨即顯示混合資料安全性設定頁面。
                                                                                                                                                  3

                                                                                                                                                  在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  在您啟動試用服務並新增初始試用使用者集後,您可以在試用服務有效期間隨時新增或移除試用成員。

                                                                                                                                                  如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。

                                                                                                                                                  如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。

                                                                                                                                                  4

                                                                                                                                                  輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存

                                                                                                                                                  從試用服務移至生產環境

                                                                                                                                                  當您對您的部署適用於試用使用者感到滿意時,可以移至生產。 當您移至生產時,組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。 除非您在災害復原過程中停用該服務,否則您無法從生產環境移回試用模式。 重新啟動服務需要"安裝;設定"新的試用服務。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下移至生產環境

                                                                                                                                                  4

                                                                                                                                                  確認您要將所有使用者移至生產環境。

                                                                                                                                                  在不移至生產的情況下結束試用服務

                                                                                                                                                  如果在試用期間,您決定不繼續部署「混合資料安全性」,您可以停用「混合資料安全性」,這將結束試用服務,並將試用使用者移回雲端資料安全性服務。 試用使用者將失去對試用期間加密的資料的存取權。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在停用區段中,按一下停用

                                                                                                                                                  4

                                                                                                                                                  確認您要停用服務並結束試用服務。

                                                                                                                                                  管理您的 HDS 部署

                                                                                                                                                  管理 HDS 部署

                                                                                                                                                  使用這裡描述的任務來管理您的「混合資料安全性」部署。

                                                                                                                                                  設定叢集升級排程

                                                                                                                                                  混合資料安全性的軟體升級可在叢集層級自動完成,從而確保所有節點始終執行相同的軟體版本。 根據叢集的升級排程來完成升級。 當軟體升級變成可用時,您可以選擇在排定的升級時間之前手動升級叢集。 可以設定特定的升級排程,或者使用預設排程(美國每天凌晨 3:00): 美洲/洛杉磯。 必要時,也可以選擇延遲即將進行的升級。

                                                                                                                                                  若要設定升級排程:

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在概觀頁面上的混合服務下,選取混合資料安全性

                                                                                                                                                  3

                                                                                                                                                  在「混合資料安全性資源」頁上,選取叢集。

                                                                                                                                                  4

                                                                                                                                                  在右側的概觀面板中,在叢集設定下,選取叢集名稱。

                                                                                                                                                  5

                                                                                                                                                  在「設定」頁面上的「升級」下,選取升級排程的時間和時區。

                                                                                                                                                  附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。

                                                                                                                                                  變更節點組態

                                                                                                                                                  偶爾出於如下原因,您可能需要變更混合資料安全節點的設定:
                                                                                                                                                  • 由於到期或其他原因而變更 x.509 憑證。


                                                                                                                                                     

                                                                                                                                                    我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。

                                                                                                                                                  • 更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。


                                                                                                                                                     

                                                                                                                                                    我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。

                                                                                                                                                  • 建立新的設定以準備新的資料中心。

                                                                                                                                                  同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:

                                                                                                                                                  • 軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。

                                                                                                                                                  • 硬重設 — 舊密碼會立即停止作用。

                                                                                                                                                  如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。

                                                                                                                                                  使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。

                                                                                                                                                  1

                                                                                                                                                  在本端機器上使用 Docker 來執行「HDS 設定」工具。

                                                                                                                                                  1. 在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2. 若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密碼提示中,輸入此雜湊:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下載適用於您環境的最新穩定映像:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

                                                                                                                                                  5. 提取完成後,輸入適用於您環境的指令:

                                                                                                                                                    • 在沒有 Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6. 使用瀏覽器來連線 localhost,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  7. 提示時,輸入 Control Hub 客戶登入認證,然後按一下接受以繼續作業。

                                                                                                                                                  8. 匯入現行設定 ISO 檔案。

                                                                                                                                                  9. 遵循提示來完成工具並下載更新檔。

                                                                                                                                                    若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  10. 在其他資料中心中建立已更新檔案的備份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點

                                                                                                                                                  1. 安裝 HDS 主機 OVA。

                                                                                                                                                  2. 設定 HDS 虛擬機器。

                                                                                                                                                  3. 安裝已更新的設定檔案。

                                                                                                                                                  4. 在 Control Hub 中註冊新的節點。

                                                                                                                                                  3

                                                                                                                                                  針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點:

                                                                                                                                                  1. 關閉虛擬機器。

                                                                                                                                                  2. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1,選取從 ISO 檔案安裝的選項,並瀏覽至您下載新設定 ISO 檔案的位置。

                                                                                                                                                  4. 勾選開啟電源時連線

                                                                                                                                                  5. 儲存變更並開啟虛擬機器的電源。

                                                                                                                                                  4

                                                                                                                                                  重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

                                                                                                                                                  關閉封鎖的外部 DNS 解析模式

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。

                                                                                                                                                  如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

                                                                                                                                                  準備工作

                                                                                                                                                  確保您的內部 DNS 伺服器可以解析公用 DNS 名稱,而且您的節點可以與它們通訊。
                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至概觀(預設頁面)。

                                                                                                                                                  啟用時,封鎖的外部 DNS 解析設定為

                                                                                                                                                  3

                                                                                                                                                  轉至信任儲存庫和 Proxy 頁面。

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。

                                                                                                                                                  下一步

                                                                                                                                                  在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

                                                                                                                                                  移除節點

                                                                                                                                                  使用此流程從Webex雲端移除「混合資料安全性」節點。 從叢集中移除節點後,請刪除虛擬機器以防止進一步存取您的安全性資料。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。

                                                                                                                                                  2

                                                                                                                                                  移除節點:

                                                                                                                                                  1. 登入 Control Hub,然後選取服務

                                                                                                                                                  2. 在混合資料安全性卡片上,按一下檢視全部以顯示「混合資料安全性資源」頁。

                                                                                                                                                  3. 選取您的叢集以顯示其概觀面板。

                                                                                                                                                  4. 按一下開啟節點清單

                                                                                                                                                  5. 在節點標籤上,選取要移除的節點。

                                                                                                                                                  6. 按一下動作>取消註冊節點

                                                                                                                                                  3

                                                                                                                                                  在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。)

                                                                                                                                                  如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。

                                                                                                                                                  使用待機資料中心進行災害復原

                                                                                                                                                  混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。

                                                                                                                                                  因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:

                                                                                                                                                  若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。 進行此設定後,節點即可處理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。 「KMS 已設定為被動模式」不應出現在系統記錄中。

                                                                                                                                                  下一步

                                                                                                                                                  在容錯移轉後,如果主資料中心再次變為活躍狀態,請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原

                                                                                                                                                  (可選)在 HDS 配置後解除掛載ISO

                                                                                                                                                  標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

                                                                                                                                                  您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。

                                                                                                                                                  準備工作

                                                                                                                                                  將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

                                                                                                                                                  1

                                                                                                                                                  關閉其中一個 HDS 節點。

                                                                                                                                                  2

                                                                                                                                                  在 vCenter Server Appliance 中,選取 HDS 節點。

                                                                                                                                                  3

                                                                                                                                                  選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案

                                                                                                                                                  4

                                                                                                                                                  開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。

                                                                                                                                                  5

                                                                                                                                                  依次為每個 HDS 節點重複此操作。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  檢視警示和疑難排解

                                                                                                                                                  如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:

                                                                                                                                                  • 無法建立新空間(無法建立新鍵)

                                                                                                                                                  • 訊息和空間標題無法解密:

                                                                                                                                                    • 新使用者新增至空間(無法擷取金鑰)

                                                                                                                                                    • 使用新用戶端的空間中的現有使用者(無法擷取金鑰)

                                                                                                                                                  • 空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取

                                                                                                                                                  請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

                                                                                                                                                  警示

                                                                                                                                                  如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。

                                                                                                                                                  表 1. 常見問題及解決問題的步驟

                                                                                                                                                  警示

                                                                                                                                                  動作

                                                                                                                                                  本端資料庫存取失敗。

                                                                                                                                                  檢查是否存在資料庫錯誤或本地網路問題。

                                                                                                                                                  本機資料庫連線失敗。

                                                                                                                                                  檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。

                                                                                                                                                  存取雲端服務失敗。

                                                                                                                                                  檢查節點是否可以存取中指定的Webex伺服器外部連線需求

                                                                                                                                                  正在更新雲端服務註冊。

                                                                                                                                                  已刪除對雲端服務的註冊。 進行中重新註冊註冊。

                                                                                                                                                  雲端服務註冊已刪除。

                                                                                                                                                  向雲端服務的註冊已終止。 服務正在關閉。

                                                                                                                                                  服務尚未啟動。

                                                                                                                                                  啟用試用服務,或完成將試用服務移至生產環境。

                                                                                                                                                  設定的網域與伺服器憑證不相符。

                                                                                                                                                  請確保您的伺服器憑證符合設定的服務啟動網域。

                                                                                                                                                  最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。

                                                                                                                                                  無法針對雲端服務進行驗證。

                                                                                                                                                  檢查服務帳戶認證的準確性及是否可能過期。

                                                                                                                                                  無法開啟本機金鑰儲存區檔案。

                                                                                                                                                  檢查本機金鑰存放區檔案的完整性和密碼準確度。

                                                                                                                                                  本機伺服器憑證無效。

                                                                                                                                                  檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。

                                                                                                                                                  無法公佈指標。

                                                                                                                                                  檢查對外部雲端服務的本地網路存取。

                                                                                                                                                  /media/configDrive/hds 目錄不存在。

                                                                                                                                                  檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  當對混合資料安全性問題進行疑難排解時,請使用以下一般準則。
                                                                                                                                                  1

                                                                                                                                                  複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。

                                                                                                                                                  2

                                                                                                                                                  複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。

                                                                                                                                                  3

                                                                                                                                                  聯絡Cisco 支援

                                                                                                                                                  其他附註

                                                                                                                                                  混合資料安全性的已知問題

                                                                                                                                                  • 如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。

                                                                                                                                                  • 與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。

                                                                                                                                                    當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。

                                                                                                                                                  使用 OpenSSL 產生 PKCS12 檔案

                                                                                                                                                  準備工作

                                                                                                                                                  • OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。

                                                                                                                                                  • 如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。

                                                                                                                                                  • 在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。

                                                                                                                                                  • 建立私密金鑰。

                                                                                                                                                  • 當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。

                                                                                                                                                  1

                                                                                                                                                  當您從 CA 收到伺服器憑證時,將其另存為 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  將憑證顯示為文字,並驗證詳細資料。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文字編輯器建立一個名為 hdsnode-bundle.pem 。 組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證,格式如下:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用易記名稱建立 .p12 檔案 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  檢查伺服器憑證詳細資料。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示時輸入密碼以加密私密金鑰,使其在輸出中列出。 然後,驗證私密金鑰和第一個憑證是否包含以下行 friendlyName: kms-private-key

                                                                                                                                                    範例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。

                                                                                                                                                  HDS 節點與雲端之間的流量

                                                                                                                                                  輸出指標收集流量

                                                                                                                                                  混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。

                                                                                                                                                  入埠流量

                                                                                                                                                  混合資料安全性節點從Webex雲端接收以下類型的入埠流量:

                                                                                                                                                  • 來自用戶端的加密請求,由加密服務路由

                                                                                                                                                  • 升級至節點軟體

                                                                                                                                                  設定 Squid Proxy 以實現混合資料安全

                                                                                                                                                  Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss: 流量,從而確保服務正確運作。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  新增 on_unsupported_protocol 指示為 squid.conf

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf 。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新的和變更的資訊

                                                                                                                                                  日期

                                                                                                                                                  進行的變更

                                                                                                                                                  2023 年 10 月 20 日

                                                                                                                                                  2023 年 8 月 7 日

                                                                                                                                                  2023 年 5 月 23 日

                                                                                                                                                  2022 年 12 月 6 日

                                                                                                                                                  2022 年 11 月 23 日

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  2021 年 1 月 11 日

                                                                                                                                                  新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  已更新下載安裝檔案

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態用於 FedRAMP 環境的指令。

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態登入程序變更。

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

                                                                                                                                                  已更新虛擬主機需求以移除數目上限的主機。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  已更新移除節點了解 Control Hub UI 中的變更。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  已更新外部連線需求與新的美洲 CI 主機搭配。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  已更新外部連線需求包含有關區域 CI 主機的資訊。

                                                                                                                                                  2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。
                                                                                                                                                  2020 年 2 月 4 日已更新Proxy 伺服器需求
                                                                                                                                                  2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下章節中新增了有關已封鎖外部DNS解析模式的資訊:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。

                                                                                                                                                  已相應地更新了下列章節:


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  新增SQL Server Standard 至資料庫伺服器需求

                                                                                                                                                  2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

                                                                                                                                                  若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

                                                                                                                                                  2019 年 6 月 13 日已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。
                                                                                                                                                  2019 年 3 月 6 日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB,以反映 OVA 建立的磁碟大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線,以及與具有TLS功能的 syslog 伺服器的加密記錄連線。 已更新為 HDS 主機建立設定ISO並附有指示。

                                                                                                                                                  • 從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。 表格現在引用了在下列情況下維護的Webex: Webex Teams 服務的網路要求

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合資料安全性現在支援將Microsoft SQL Server 作為資料庫。 混合資料安全性中使用的 JDBC 驅動程式支援SQL Server永遠開啟(永遠開啟故障轉移叢集和始終開啟可用性群組)。 新增了與使用SQL Server 進行部署相關的內容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。 目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

                                                                                                                                                  2018 年 11 月 5 日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  變更了術語以反映Cisco Spark的品牌更名:

                                                                                                                                                  • Cisco Spark混合資料安全性現已更名為混合資料安全性。

                                                                                                                                                  • Cisco Spark應用程式現在更名為Webex App 應用程式。

                                                                                                                                                  • Cisco Collaboration Cloud 現已更名為Webex Cloud。

                                                                                                                                                  2018 年 4 月 11 日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509 憑證需求表,指定憑證不能是萬用憑證,且 KMS 使用 CN 網域,而不是 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017 年 11 月 2 日

                                                                                                                                                  • 釐清了 Hds TrialGroup 的目錄同步。

                                                                                                                                                  • 修正了上傳ISO組態檔以掛載到VM節點的指示。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次公佈

                                                                                                                                                  混合資料安全性入門

                                                                                                                                                  混合資料安全性概觀

                                                                                                                                                  從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

                                                                                                                                                  預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。

                                                                                                                                                  安全性領域架構

                                                                                                                                                  Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

                                                                                                                                                  分離領域(無混合資料安全性)

                                                                                                                                                  為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。

                                                                                                                                                  在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:

                                                                                                                                                  1. 用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。

                                                                                                                                                  2. 訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。

                                                                                                                                                  3. 加密的訊息傳送至合規服務進行合規檢查。

                                                                                                                                                  4. 加密的訊息儲存在儲存領域中。

                                                                                                                                                  部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。

                                                                                                                                                  與其他組織協作

                                                                                                                                                  您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

                                                                                                                                                  在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。

                                                                                                                                                  對部署混合資料安全性的預期

                                                                                                                                                  混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。

                                                                                                                                                  若要部署混合資料安全性,您必須提供:

                                                                                                                                                  完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:

                                                                                                                                                  • 管理資料庫及設定ISO的備份與復原。

                                                                                                                                                  • 準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。


                                                                                                                                                   

                                                                                                                                                  沒有任何機制可在部署 HDS 後將金鑰移回雲端。

                                                                                                                                                  高階設定過程

                                                                                                                                                  此文件涵蓋「混合資料安全性」部署的設定和管理:

                                                                                                                                                  • 設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。

                                                                                                                                                    接下來的三章將詳細涵蓋設定、試用和生產階段。

                                                                                                                                                  • 維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。

                                                                                                                                                  • 了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

                                                                                                                                                  在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)

                                                                                                                                                  叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。

                                                                                                                                                  當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。

                                                                                                                                                  每個組織僅支援一個叢集。

                                                                                                                                                  混合資料安全性試用模式

                                                                                                                                                  在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。

                                                                                                                                                  如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。

                                                                                                                                                  如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。

                                                                                                                                                  用於災害復原的備用資料中心

                                                                                                                                                  在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手動故障轉換至備用資料中心

                                                                                                                                                  作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。


                                                                                                                                                   

                                                                                                                                                  作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

                                                                                                                                                  設定備用資料中心以進行災害復原

                                                                                                                                                  請遵循下列步驟來設定備用資料中心的ISO檔案:

                                                                                                                                                  準備工作

                                                                                                                                                  • 備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)

                                                                                                                                                  • 請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 以驗證節點是否處於被動模式。 您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

                                                                                                                                                  下一步

                                                                                                                                                  設定後 passiveMode 在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode 設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode 已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,

                                                                                                                                                  Proxy 支援

                                                                                                                                                  混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

                                                                                                                                                  混合資料安全節點支援以下 Proxy 選項:

                                                                                                                                                  • 無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。

                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。

                                                                                                                                                  • 透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:

                                                                                                                                                      • HTTP — 檢視並控制用戶端傳送的所有請求。

                                                                                                                                                      • HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                  混合資料安全節點和 Proxy 的範例

                                                                                                                                                  此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

                                                                                                                                                  已封鎖外部 DNS 解析模式(明確 Proxy 設定)

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

                                                                                                                                                  準備您的環境

                                                                                                                                                  混合資料安全性的需求

                                                                                                                                                  Cisco Webex授權需求

                                                                                                                                                  若要部署混合資料安全性:

                                                                                                                                                  Docker 桌面需求

                                                                                                                                                  安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。

                                                                                                                                                  X.509 憑證需求

                                                                                                                                                  憑證鏈結必須符合下列需求:

                                                                                                                                                  表 1. 混合資料安全性部署的 X.509 憑證需求

                                                                                                                                                  需求

                                                                                                                                                  詳細資訊

                                                                                                                                                  • 由受信任的憑證授權單位(CA) 簽署

                                                                                                                                                  依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱

                                                                                                                                                  • 不是萬用憑證

                                                                                                                                                  不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, hds.company.com

                                                                                                                                                  CN 不能包含 *(萬用字元)。

                                                                                                                                                  CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。

                                                                                                                                                  • 非 SHA1 簽章

                                                                                                                                                  KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。

                                                                                                                                                  • 已格式化為受密碼保護的 PKCS #12 檔案

                                                                                                                                                  • 使用的易記名稱: kms-private-key 標記憑證、私密金鑰以及要上傳的任何中間憑證。

                                                                                                                                                  您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。

                                                                                                                                                  當您執行 HDS 設定工具時,您將需要輸入密碼。

                                                                                                                                                  KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。

                                                                                                                                                  虛擬主機需求

                                                                                                                                                  您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:

                                                                                                                                                  • 至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心

                                                                                                                                                  • VMware ESXi 6.5(或更高版本)已安裝且正在執行。


                                                                                                                                                     

                                                                                                                                                    如果您具有較舊的 ESXi 版本,則必須升級。

                                                                                                                                                  • 每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

                                                                                                                                                  資料庫伺服器需求


                                                                                                                                                   

                                                                                                                                                  建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

                                                                                                                                                  資料庫伺服器有兩個選項。 每個項目的需求如下:

                                                                                                                                                  表格 2. 依資料庫類型排列資料庫伺服器需求

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • 已安裝且正在執行 PostgreSQL 14、15 或 16。

                                                                                                                                                  • 已安裝SQL Server 2016、2017 或 2019(企業版或標準版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC 驅動程式 42.2.5

                                                                                                                                                  SQL Server JDBC 驅動程式 4.6

                                                                                                                                                  此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例AlwaysOn 可用性群組)。

                                                                                                                                                  針對Microsoft SQL Server 的 Windows 驗證的其他需求

                                                                                                                                                  如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:

                                                                                                                                                  • HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。

                                                                                                                                                  • 您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。

                                                                                                                                                  • 您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。

                                                                                                                                                  • 您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱

                                                                                                                                                    HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。

                                                                                                                                                  外部連線需求

                                                                                                                                                  設定您的防火牆,以允許 HDS 應用程式進行以下連線:

                                                                                                                                                  應用程式

                                                                                                                                                  通訊協定

                                                                                                                                                  連接埠

                                                                                                                                                  來自應用程式的方向

                                                                                                                                                  目標

                                                                                                                                                  混合資料安全節點

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS 和 WSS

                                                                                                                                                  • Webex伺服器:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • 中針對混合資料安全性列出的其他 URL: Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求

                                                                                                                                                  HDS 設定工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • Hub.docker.com


                                                                                                                                                   

                                                                                                                                                  「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。

                                                                                                                                                  通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:

                                                                                                                                                  地區

                                                                                                                                                  通用身份識別主持人 URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  歐盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy 伺服器要求

                                                                                                                                                  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

                                                                                                                                                    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

                                                                                                                                                    • 明確 Proxy — Squid。


                                                                                                                                                       

                                                                                                                                                      檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性

                                                                                                                                                  • 我們支援明確 Proxy 的以下驗證類型組合:

                                                                                                                                                    • 不使用 HTTP 或 HTTPS 進行驗證

                                                                                                                                                    • 使用 HTTP 或 HTTPS 進行基本驗證

                                                                                                                                                    • 僅使用 HTTPS 進行摘要式驗證

                                                                                                                                                  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

                                                                                                                                                  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

                                                                                                                                                  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至 wbx2.comciscospark.com 將解決問題。

                                                                                                                                                  完成混合資料安全性的先決條件

                                                                                                                                                  使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。
                                                                                                                                                  1

                                                                                                                                                  確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。

                                                                                                                                                  2

                                                                                                                                                  為您的 HDS 部署選擇網域名稱(例如, hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。 憑證鏈結必須符合 X.509 憑證需求

                                                                                                                                                  3

                                                                                                                                                  準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求

                                                                                                                                                  4

                                                                                                                                                  根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。

                                                                                                                                                  1. 建立金鑰儲存用的資料庫。 (您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。)

                                                                                                                                                  2. 收集節點將用來與資料庫伺服器通訊的詳細資料:

                                                                                                                                                    • 主持人名稱或IP 位址(host) 和通訊埠

                                                                                                                                                    • 用於金鑰儲存的資料庫名稱 (dbname)

                                                                                                                                                    • 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

                                                                                                                                                  5

                                                                                                                                                  為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。

                                                                                                                                                  6

                                                                                                                                                  設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。


                                                                                                                                                   

                                                                                                                                                  因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失該內容的。

                                                                                                                                                  Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。

                                                                                                                                                  8

                                                                                                                                                  請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求

                                                                                                                                                  9

                                                                                                                                                  安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。

                                                                                                                                                  若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求

                                                                                                                                                  10

                                                                                                                                                  如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求

                                                                                                                                                  11

                                                                                                                                                  如果您的組織使用目錄同步,請在Active Directory中建立一個名為 HdsTrialGroup ,並新增試用使用者。 試用群組最多可以有 250 個使用者。 該 HdsTrialGroup 必須將物件同步到雲端,然後才能為組織開始試用服務。 若要同步群組物件,請在 Directory Connector 的 設定>物件選取功能表。 (如需詳細指示,請參閱Cisco目錄連接器的部署指南。 )


                                                                                                                                                   

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。 當使用者的應用程式重新整理其快取的內容副本時,該遺失立即變得明顯。

                                                                                                                                                  設定混合資料安全叢集

                                                                                                                                                  混合資料安全性部署任務流程

                                                                                                                                                  準備工作

                                                                                                                                                  準備您的環境

                                                                                                                                                  1

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  將 OVA 檔案下載到您的本地機器以供稍後使用。

                                                                                                                                                  2

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

                                                                                                                                                  3

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。

                                                                                                                                                  5

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

                                                                                                                                                  6

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。

                                                                                                                                                  7

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

                                                                                                                                                  8

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  完成叢集設定。

                                                                                                                                                  9

                                                                                                                                                  執行試用並移至生產(下一章)

                                                                                                                                                  在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。 您稍後將在安裝過程中使用此檔案。
                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後按一下服務

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定

                                                                                                                                                  如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。


                                                                                                                                                   

                                                                                                                                                  您也可以隨時從說明區段上的設定頁面。 在混合資料安全性卡片上,按一下編輯設定以開啟頁面。 然後,按一下下載「混合資料安全性」軟體說明區段。


                                                                                                                                                   

                                                                                                                                                  較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。 這可能會導致升級應用程式時發生問題。 請確保下載最新版本的 OVA 檔案。

                                                                                                                                                  3

                                                                                                                                                  選取以指示您尚未"安裝;設定"該節點,然後按一下下一個

                                                                                                                                                  OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
                                                                                                                                                  4

                                                                                                                                                  (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:

                                                                                                                                                    • 資料庫認證

                                                                                                                                                    • 憑證更新

                                                                                                                                                    • 授權原則的變更

                                                                                                                                                  • 如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

                                                                                                                                                  1

                                                                                                                                                  在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2

                                                                                                                                                  若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密碼提示中,輸入此雜湊:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下載適用於您環境的最新穩定映像:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  提取完成後,輸入適用於您環境的指令:

                                                                                                                                                  • 在沒有 Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  使用 Web 瀏覽器轉至 本地主機, http://127.0.0.1:8080 ,並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

                                                                                                                                                  此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。

                                                                                                                                                  7

                                                                                                                                                  提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。

                                                                                                                                                  8

                                                                                                                                                  在設定工具概觀頁上,按一下開始使用

                                                                                                                                                  9

                                                                                                                                                  ISO匯入頁面上,您有下列選項:

                                                                                                                                                  • — 如果您要建立第一個 HDS 節點,則您沒有要上傳的ISO檔案。
                                                                                                                                                  • - 如果您已建立 HDS 節點,則您在瀏覽中選取ISO檔案並上傳。
                                                                                                                                                  10

                                                                                                                                                  檢查您的 X.509 憑證是否符合X.509 憑證需求

                                                                                                                                                  • 如果您之前從未上傳過憑證,請上傳 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  • 如果您的憑證確定,請按一下繼續
                                                                                                                                                  • 如果您的憑證已過期或您要取代它,請選取繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎? 。 上傳新的 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  11

                                                                                                                                                  輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區:

                                                                                                                                                  1. 選取您的資料庫類型 PostgresMicrosoft SQL Server )。

                                                                                                                                                    如果您選擇Microsoft SQL Server ,您會獲得一個驗證類型欄位。

                                                                                                                                                  2. Microsoft SQL Server僅))選取您的驗證類型

                                                                                                                                                    • 基本驗證: 您需要一個本機SQL Server帳戶名稱,使用者名稱欄位。

                                                                                                                                                    • Windows 驗證: 您需要一個 Windows 帳戶,格式為 username@DOMAIN使用者名稱欄位。

                                                                                                                                                  3. 在以下表格中輸入資料庫伺服器位址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    範例:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果節點無法使用DNS來解析主機名稱,您可以使用IP 位址進行基本驗證。

                                                                                                                                                    如果使用的是 Windows 驗證,則必須輸入以下格式的完整網域名稱: dbhost.example.org:1433

                                                                                                                                                  4. 輸入資料庫名稱

                                                                                                                                                  5. 輸入使用者名稱密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

                                                                                                                                                  12

                                                                                                                                                  選取一個TLS資料庫連線模式

                                                                                                                                                  模式

                                                                                                                                                  說明

                                                                                                                                                  偏好使用 TLS (預設選項)

                                                                                                                                                  HDS 節點不需要使用 TLS 連線到資料庫伺服器。 若您在資料庫伺服器上啟用TLS ,節點會嘗試進行加密連線。

                                                                                                                                                  需要 TLS

                                                                                                                                                  僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者


                                                                                                                                                   

                                                                                                                                                  此模式不適用於SQL Server 資料庫。

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者和主機名稱

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  • 節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。 名稱必須完全相符,否則節點將斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。)

                                                                                                                                                  13

                                                                                                                                                  在系統記錄頁上,設定您的 Syslogd 伺服器:

                                                                                                                                                  1. 輸入 syslog 伺服器URL。

                                                                                                                                                    如果無法從 HDS 叢集的節點DNS伺服器,請在URL中使用IP 位址。

                                                                                                                                                    範例:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
                                                                                                                                                  2. 如果您將伺服器"安裝;設定"為使用TLS加密,請勾選您的 syslog 伺服器是否設定為使用SSL加密?

                                                                                                                                                    如果勾選此勾選方塊,請確保輸入一個TCP URL ,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 選擇 syslog 記錄終止下拉清單,請為您的ISO檔案選擇適當的設定: 選擇或換行用於 Graylog 和 Rsyslog TCP

                                                                                                                                                    • 空值位元組 -- \x00

                                                                                                                                                    • 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。

                                                                                                                                                  4. 按一下繼續

                                                                                                                                                  14

                                                                                                                                                  (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  按一下繼續位於重設服務帳戶密碼螢幕。

                                                                                                                                                  服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。

                                                                                                                                                  16

                                                                                                                                                  按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。

                                                                                                                                                  17

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。

                                                                                                                                                  確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  18

                                                                                                                                                  若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。


                                                                                                                                                   

                                                                                                                                                  我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  使用此流程可從 OVA 檔案建立虛擬機器。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

                                                                                                                                                  2

                                                                                                                                                  選取檔案>部署 OVF 範本

                                                                                                                                                  3

                                                                                                                                                  在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個

                                                                                                                                                  4

                                                                                                                                                  選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  選取計算資源頁面上,選擇目標計算資源,然後按一下下一個

                                                                                                                                                  執行驗證檢查。 完成後,會出現範本詳細資料。

                                                                                                                                                  6

                                                                                                                                                  驗證範本詳細資料,然後按一下下一個

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個

                                                                                                                                                  8

                                                                                                                                                  選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。

                                                                                                                                                  9

                                                                                                                                                  選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。

                                                                                                                                                  10

                                                                                                                                                  自訂範本頁面,設定下列網路設定:

                                                                                                                                                  • 主機名稱— 輸入節點的 FQDN(主機名稱和網域)或單字主機名稱。

                                                                                                                                                     
                                                                                                                                                    • 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                    • 若要確保成功註冊雲端,請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。 目前不支援大寫。

                                                                                                                                                    • FQDN 的總長度不得超過 64 個字元。

                                                                                                                                                  • IP位址— 輸入節點內部介面的IP 位址。

                                                                                                                                                     

                                                                                                                                                    您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  • 遮罩— 以點十進製表示法輸入子網路遮罩位址。 譬如, 255.255.255.0
                                                                                                                                                  • 閘道—輸入閘道IP 位址。 閘道是用作另一個網路的存取點的網路節點。
                                                                                                                                                  • DNS伺服器— 輸入以逗號分隔的DNS伺服器清單,該伺服器負責將網域名稱轉換為數字IP位址。 (最多允許 4 個DNS項目。)
                                                                                                                                                  • NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。 預設NTP伺服器可能不適用於所有企業。 您還可以使用逗號分隔的清單來輸入多個NTP伺服器。
                                                                                                                                                  • 將所有節點部署在相同的子網路或VLAN上,以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

                                                                                                                                                  如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  在節點VM上按一下滑鼠右鍵,然後選擇電源>開啟電源

                                                                                                                                                  混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。

                                                                                                                                                  疑難排解提示

                                                                                                                                                  在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。

                                                                                                                                                  1

                                                                                                                                                  在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。

                                                                                                                                                  VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
                                                                                                                                                  2

                                                                                                                                                  使用以下預設登入和密碼來登入和變更認證:

                                                                                                                                                  1. 登入: admin

                                                                                                                                                  2. 密碼: cisco

                                                                                                                                                  由於您是首次登入VM ,因此您必須變更管理員密碼。

                                                                                                                                                  3

                                                                                                                                                  如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。

                                                                                                                                                  4

                                                                                                                                                  使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  5

                                                                                                                                                  (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。

                                                                                                                                                  您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                  6

                                                                                                                                                  儲存網路組態設定並重新啟動VM以使變更生效。

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

                                                                                                                                                  準備工作

                                                                                                                                                  因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。

                                                                                                                                                  1

                                                                                                                                                  從您的電腦上傳ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,按一下 ESXi 伺服器。

                                                                                                                                                  2. 在組態標籤的硬體清單中,按一下儲存

                                                                                                                                                  3. 在資料儲存區清單中,按右鍵一下 VM 的資料儲存區,然後按一下瀏覽資料儲存區

                                                                                                                                                  4. 按一下上傳檔案圖示,然後按一下上傳檔案

                                                                                                                                                  5. 瀏覽到您在電腦上下載ISO檔案的位置,然後按一下開啟

                                                                                                                                                  6. 按一下接受上傳/下載操作警告,並關閉資料存放區對話。

                                                                                                                                                  2

                                                                                                                                                  裝載ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  2. 按一下確定接受受限編輯選項警告。

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 ,選取從資料儲存區ISO檔案裝載的選項,然後瀏覽到您上傳設定ISO檔案的位置。

                                                                                                                                                  4. 檢查已連線開啟電源時連接

                                                                                                                                                  5. 儲存變更並重新啟動虛擬機器。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

                                                                                                                                                  準備工作

                                                                                                                                                  1

                                                                                                                                                  輸入 HDS 節點設定URL https://[HDS Node IP or FQDN]/setup 在 Web 瀏覽器中,輸入您為節點"安裝;設定"的管理員認證,然後按一下 登入

                                                                                                                                                  2

                                                                                                                                                  轉至信任儲存庫和 Proxy,然後選擇一個選項:

                                                                                                                                                  • 無 Proxy — 整合 Proxy 之前的預設選項。 無需更新憑證。
                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
                                                                                                                                                  • 透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知用戶端(HDS 節點)使用哪個 Proxy 伺服器,並且此選項支援多種驗證類型。 選擇此選項後,您必須輸入以下資訊:
                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 選擇 http(檢視和控制從用戶端收到的所有請求)或 https(提供通往伺服器的通道,且用戶端接收並驗證伺服器的憑證)。 根據 Proxy 伺服器支援的內容來選擇一個選項。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅適用於 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                  針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

                                                                                                                                                  3

                                                                                                                                                  按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

                                                                                                                                                  憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

                                                                                                                                                  如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」

                                                                                                                                                  5

                                                                                                                                                  連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

                                                                                                                                                  節點會在幾分鐘內重新啟動。

                                                                                                                                                  7

                                                                                                                                                  節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

                                                                                                                                                  Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  此工作採用您在設定混合資料安全VM ,向Webex雲端註冊節點,並將其轉換為「混合資料安全性」節點。

                                                                                                                                                  註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  從螢幕左側的功能表中,選取服務

                                                                                                                                                  3

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  出現「註冊混合資料安全節點」頁。
                                                                                                                                                  4

                                                                                                                                                  選取以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。

                                                                                                                                                  我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」

                                                                                                                                                  6

                                                                                                                                                  在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                  此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM

                                                                                                                                                  將出現一則訊息,指出您可以向Webex註冊您的節點。
                                                                                                                                                  7

                                                                                                                                                  按一下移至節點。

                                                                                                                                                  8

                                                                                                                                                  按一下警告訊息中的繼續。

                                                                                                                                                  稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
                                                                                                                                                  9

                                                                                                                                                  檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                  您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  10

                                                                                                                                                  按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  若要向叢集新增其他節點,您只需建立其他 VM 並裝載相同的ISO設定檔案,然後註冊節點。 我們建議您至少有 3 個節點。

                                                                                                                                                   

                                                                                                                                                  目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA

                                                                                                                                                  2

                                                                                                                                                  在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO

                                                                                                                                                  4

                                                                                                                                                  如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。

                                                                                                                                                  5

                                                                                                                                                  註冊節點。

                                                                                                                                                  1. 輸入https://admin.webex.com,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2. 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下資源

                                                                                                                                                    出現「混合資料安全性資源」頁。
                                                                                                                                                  3. 按一下新增資源

                                                                                                                                                  4. 在第一個欄位中,選取現有叢集的名稱。

                                                                                                                                                  5. 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                    系統將顯示一則訊息,指出您可以將節點註冊到Webex雲端。
                                                                                                                                                  6. 按一下移至節點。

                                                                                                                                                    稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向組織授予權限,以存取您的節點。
                                                                                                                                                  7. 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                    您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  8. 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下一步

                                                                                                                                                  執行試用並移至生產(下一章)
                                                                                                                                                  執行試用並移至生產

                                                                                                                                                  試用到生產任務流程

                                                                                                                                                  "安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。

                                                                                                                                                  1

                                                                                                                                                  如果適用,請同步 HdsTrialGroup 群組物件。

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能開始試用。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  2

                                                                                                                                                  啟動試用服務

                                                                                                                                                  開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。

                                                                                                                                                  3

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  4

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  檢查狀態,並"安裝;設定"的電子郵件通知。

                                                                                                                                                  5

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  6

                                                                                                                                                  使用下列動作之一完成試用階段:

                                                                                                                                                  啟動試用服務

                                                                                                                                                  準備工作

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下開始試用

                                                                                                                                                  服務狀態變更為試用模式。
                                                                                                                                                  4

                                                                                                                                                  按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。

                                                                                                                                                  (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, HdsTrialGroup.)

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  使用此流程來測試「混合資料安全性」加密情境。

                                                                                                                                                  準備工作

                                                                                                                                                  • 設定您的「混合資料安全性」部署。

                                                                                                                                                  • 啟用試用服務,並新增多個試用服務使用者。

                                                                                                                                                  • 請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

                                                                                                                                                  1

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。


                                                                                                                                                   

                                                                                                                                                  如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。

                                                                                                                                                  2

                                                                                                                                                  傳送訊息至新空間。

                                                                                                                                                  3

                                                                                                                                                  檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  1. 若要檢查是否有使用者首先建立通往 KMS 的安全通道,請篩選 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION

                                                                                                                                                    您應該會找到如下所示的項目(為便於閱讀而縮短了標識符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 若要檢查是否有使用者從 KMS 請求現有金鑰,請篩選 kms.data.method=retrievekms.data.type=KEY

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 若要檢查是否有使用者請求建立新的 KMS 金鑰,請篩選 kms.data.method=createkms.data.type=KEY_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO),請篩選 kms.data.method=createkms.data.type=RESOURCE_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。 如需更主動的警示,請註冊電子郵件通知。 當發生影響服務的警報或軟體升級時,您將會收到通知。
                                                                                                                                                  1

                                                                                                                                                  輸入Control Hub ,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  隨即顯示混合資料安全性設定頁面。
                                                                                                                                                  3

                                                                                                                                                  在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  在您啟動試用服務並新增初始試用使用者集後,您可以在試用服務有效期間隨時新增或移除試用成員。

                                                                                                                                                  如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。

                                                                                                                                                  如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。

                                                                                                                                                  4

                                                                                                                                                  輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存

                                                                                                                                                  從試用服務移至生產環境

                                                                                                                                                  當您對您的部署適用於試用使用者感到滿意時,可以移至生產。 當您移至生產時,組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。 除非您在災害復原過程中停用該服務,否則您無法從生產環境移回試用模式。 重新啟動服務需要"安裝;設定"新的試用服務。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下移至生產環境

                                                                                                                                                  4

                                                                                                                                                  確認您要將所有使用者移至生產環境。

                                                                                                                                                  在不移至生產的情況下結束試用服務

                                                                                                                                                  如果在試用期間,您決定不繼續部署「混合資料安全性」,您可以停用「混合資料安全性」,這將結束試用服務,並將試用使用者移回雲端資料安全性服務。 試用使用者將失去對試用期間加密的資料的存取權。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在停用區段中,按一下停用

                                                                                                                                                  4

                                                                                                                                                  確認您要停用服務並結束試用服務。

                                                                                                                                                  管理您的 HDS 部署

                                                                                                                                                  管理 HDS 部署

                                                                                                                                                  使用這裡描述的任務來管理您的「混合資料安全性」部署。

                                                                                                                                                  設定叢集升級排程

                                                                                                                                                  混合資料安全性的軟體升級可在叢集層級自動完成,從而確保所有節點始終執行相同的軟體版本。 根據叢集的升級排程來完成升級。 當軟體升級變成可用時,您可以選擇在排定的升級時間之前手動升級叢集。 可以設定特定的升級排程,或者使用預設排程(美國每天凌晨 3:00): 美洲/洛杉磯。 必要時,也可以選擇延遲即將進行的升級。

                                                                                                                                                  若要設定升級排程:

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在概觀頁面上的混合服務下,選取混合資料安全性

                                                                                                                                                  3

                                                                                                                                                  在「混合資料安全性資源」頁上,選取叢集。

                                                                                                                                                  4

                                                                                                                                                  在右側的概觀面板中,在叢集設定下,選取叢集名稱。

                                                                                                                                                  5

                                                                                                                                                  在「設定」頁面上的「升級」下,選取升級排程的時間和時區。

                                                                                                                                                  附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。

                                                                                                                                                  變更節點組態

                                                                                                                                                  偶爾出於如下原因,您可能需要變更混合資料安全節點的設定:
                                                                                                                                                  • 由於到期或其他原因而變更 x.509 憑證。


                                                                                                                                                     

                                                                                                                                                    我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。

                                                                                                                                                  • 更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。


                                                                                                                                                     

                                                                                                                                                    我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。

                                                                                                                                                  • 建立新的設定以準備新的資料中心。

                                                                                                                                                  同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:

                                                                                                                                                  • 軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。

                                                                                                                                                  • 硬重設 — 舊密碼會立即停止作用。

                                                                                                                                                  如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。

                                                                                                                                                  使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。

                                                                                                                                                  1

                                                                                                                                                  在本端機器上使用 Docker 來執行「HDS 設定」工具。

                                                                                                                                                  1. 在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2. 若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密碼提示中,輸入此雜湊:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下載適用於您環境的最新穩定映像:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

                                                                                                                                                  5. 提取完成後,輸入適用於您環境的指令:

                                                                                                                                                    • 在沒有 Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6. 使用瀏覽器來連線 localhost,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  7. 提示時,輸入 Control Hub 客戶登入認證,然後按一下接受以繼續作業。

                                                                                                                                                  8. 匯入現行設定 ISO 檔案。

                                                                                                                                                  9. 遵循提示來完成工具並下載更新檔。

                                                                                                                                                    若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  10. 在其他資料中心中建立已更新檔案的備份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點

                                                                                                                                                  1. 安裝 HDS 主機 OVA。

                                                                                                                                                  2. 設定 HDS 虛擬機器。

                                                                                                                                                  3. 安裝已更新的設定檔案。

                                                                                                                                                  4. 在 Control Hub 中註冊新的節點。

                                                                                                                                                  3

                                                                                                                                                  針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點:

                                                                                                                                                  1. 關閉虛擬機器。

                                                                                                                                                  2. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1,選取從 ISO 檔案安裝的選項,並瀏覽至您下載新設定 ISO 檔案的位置。

                                                                                                                                                  4. 勾選開啟電源時連線

                                                                                                                                                  5. 儲存變更並開啟虛擬機器的電源。

                                                                                                                                                  4

                                                                                                                                                  重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

                                                                                                                                                  關閉封鎖的外部 DNS 解析模式

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。

                                                                                                                                                  如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

                                                                                                                                                  準備工作

                                                                                                                                                  確保您的內部 DNS 伺服器可以解析公用 DNS 名稱,而且您的節點可以與它們通訊。
                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至概觀(預設頁面)。

                                                                                                                                                  啟用時,封鎖的外部 DNS 解析設定為

                                                                                                                                                  3

                                                                                                                                                  轉至信任儲存庫和 Proxy 頁面。

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。

                                                                                                                                                  下一步

                                                                                                                                                  在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

                                                                                                                                                  移除節點

                                                                                                                                                  使用此流程從Webex雲端移除「混合資料安全性」節點。 從叢集中移除節點後,請刪除虛擬機器以防止進一步存取您的安全性資料。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。

                                                                                                                                                  2

                                                                                                                                                  移除節點:

                                                                                                                                                  1. 登入 Control Hub,然後選取服務

                                                                                                                                                  2. 在混合資料安全性卡片上,按一下檢視全部以顯示「混合資料安全性資源」頁。

                                                                                                                                                  3. 選取您的叢集以顯示其概觀面板。

                                                                                                                                                  4. 按一下開啟節點清單

                                                                                                                                                  5. 在節點標籤上,選取要移除的節點。

                                                                                                                                                  6. 按一下動作>取消註冊節點

                                                                                                                                                  3

                                                                                                                                                  在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。)

                                                                                                                                                  如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。

                                                                                                                                                  使用待機資料中心進行災害復原

                                                                                                                                                  混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。

                                                                                                                                                  因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:

                                                                                                                                                  若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。 進行此設定後,節點即可處理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。 「KMS 已設定為被動模式」不應出現在系統記錄中。

                                                                                                                                                  下一步

                                                                                                                                                  在容錯移轉後,如果主資料中心再次變為活躍狀態,請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原

                                                                                                                                                  (可選)在 HDS 配置後解除掛載ISO

                                                                                                                                                  標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

                                                                                                                                                  您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。

                                                                                                                                                  準備工作

                                                                                                                                                  將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

                                                                                                                                                  1

                                                                                                                                                  關閉其中一個 HDS 節點。

                                                                                                                                                  2

                                                                                                                                                  在 vCenter Server Appliance 中,選取 HDS 節點。

                                                                                                                                                  3

                                                                                                                                                  選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案

                                                                                                                                                  4

                                                                                                                                                  開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。

                                                                                                                                                  5

                                                                                                                                                  依次為每個 HDS 節點重複此操作。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  檢視警示和疑難排解

                                                                                                                                                  如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:

                                                                                                                                                  • 無法建立新空間(無法建立新鍵)

                                                                                                                                                  • 訊息和空間標題無法解密:

                                                                                                                                                    • 新使用者新增至空間(無法擷取金鑰)

                                                                                                                                                    • 使用新用戶端的空間中的現有使用者(無法擷取金鑰)

                                                                                                                                                  • 空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取

                                                                                                                                                  請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

                                                                                                                                                  警示

                                                                                                                                                  如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。

                                                                                                                                                  表 1. 常見問題及解決問題的步驟

                                                                                                                                                  警示

                                                                                                                                                  動作

                                                                                                                                                  本端資料庫存取失敗。

                                                                                                                                                  檢查是否存在資料庫錯誤或本地網路問題。

                                                                                                                                                  本機資料庫連線失敗。

                                                                                                                                                  檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。

                                                                                                                                                  存取雲端服務失敗。

                                                                                                                                                  檢查節點是否可以存取中指定的Webex伺服器外部連線需求

                                                                                                                                                  正在更新雲端服務註冊。

                                                                                                                                                  已刪除對雲端服務的註冊。 進行中重新註冊註冊。

                                                                                                                                                  雲端服務註冊已刪除。

                                                                                                                                                  向雲端服務的註冊已終止。 服務正在關閉。

                                                                                                                                                  服務尚未啟動。

                                                                                                                                                  啟用試用服務,或完成將試用服務移至生產環境。

                                                                                                                                                  設定的網域與伺服器憑證不相符。

                                                                                                                                                  請確保您的伺服器憑證符合設定的服務啟動網域。

                                                                                                                                                  最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。

                                                                                                                                                  無法針對雲端服務進行驗證。

                                                                                                                                                  檢查服務帳戶認證的準確性及是否可能過期。

                                                                                                                                                  無法開啟本機金鑰儲存區檔案。

                                                                                                                                                  檢查本機金鑰存放區檔案的完整性和密碼準確度。

                                                                                                                                                  本機伺服器憑證無效。

                                                                                                                                                  檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。

                                                                                                                                                  無法公佈指標。

                                                                                                                                                  檢查對外部雲端服務的本地網路存取。

                                                                                                                                                  /media/configDrive/hds 目錄不存在。

                                                                                                                                                  檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  當對混合資料安全性問題進行疑難排解時,請使用以下一般準則。
                                                                                                                                                  1

                                                                                                                                                  複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。

                                                                                                                                                  2

                                                                                                                                                  複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。

                                                                                                                                                  3

                                                                                                                                                  聯絡Cisco 支援

                                                                                                                                                  其他附註

                                                                                                                                                  混合資料安全性的已知問題

                                                                                                                                                  • 如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。

                                                                                                                                                  • 與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。

                                                                                                                                                    當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。

                                                                                                                                                  使用 OpenSSL 產生 PKCS12 檔案

                                                                                                                                                  準備工作

                                                                                                                                                  • OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。

                                                                                                                                                  • 如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。

                                                                                                                                                  • 在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。

                                                                                                                                                  • 建立私密金鑰。

                                                                                                                                                  • 當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。

                                                                                                                                                  1

                                                                                                                                                  當您從 CA 收到伺服器憑證時,將其另存為 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  將憑證顯示為文字,並驗證詳細資料。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文字編輯器建立一個名為 hdsnode-bundle.pem 。 組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證,格式如下:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用易記名稱建立 .p12 檔案 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  檢查伺服器憑證詳細資料。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示時輸入密碼以加密私密金鑰,使其在輸出中列出。 然後,驗證私密金鑰和第一個憑證是否包含以下行 friendlyName: kms-private-key

                                                                                                                                                    範例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。

                                                                                                                                                  HDS 節點與雲端之間的流量

                                                                                                                                                  輸出指標收集流量

                                                                                                                                                  混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。

                                                                                                                                                  入埠流量

                                                                                                                                                  混合資料安全性節點從Webex雲端接收以下類型的入埠流量:

                                                                                                                                                  • 來自用戶端的加密請求,由加密服務路由

                                                                                                                                                  • 升級至節點軟體

                                                                                                                                                  設定 Squid Proxy 以實現混合資料安全

                                                                                                                                                  Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss: 流量,從而確保服務正確運作。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  新增 on_unsupported_protocol 指示為 squid.conf

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf 。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新的和變更的資訊

                                                                                                                                                  日期

                                                                                                                                                  進行的變更

                                                                                                                                                  2023 年 10 月 20 日

                                                                                                                                                  2023 年 8 月 7 日

                                                                                                                                                  2023 年 5 月 23 日

                                                                                                                                                  2022 年 12 月 6 日

                                                                                                                                                  2022 年 11 月 23 日

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  2021 年 1 月 11 日

                                                                                                                                                  新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  已更新下載安裝檔案

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態用於 FedRAMP 環境的指令。

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態登入程序變更。

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

                                                                                                                                                  已更新虛擬主機需求以移除數目上限的主機。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  已更新移除節點了解 Control Hub UI 中的變更。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  已更新外部連線需求與新的美洲 CI 主機搭配。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  已更新外部連線需求包含有關區域 CI 主機的資訊。

                                                                                                                                                  2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。
                                                                                                                                                  2020 年 2 月 4 日已更新Proxy 伺服器需求
                                                                                                                                                  2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下章節中新增了有關已封鎖外部DNS解析模式的資訊:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。

                                                                                                                                                  已相應地更新了下列章節:


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  新增SQL Server Standard 至資料庫伺服器需求

                                                                                                                                                  2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

                                                                                                                                                  若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

                                                                                                                                                  2019 年 6 月 13 日已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。
                                                                                                                                                  2019 年 3 月 6 日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB,以反映 OVA 建立的磁碟大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線,以及與具有TLS功能的 syslog 伺服器的加密記錄連線。 已更新為 HDS 主機建立設定ISO並附有指示。

                                                                                                                                                  • 從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。 表格現在引用了在下列情況下維護的Webex: Webex Teams 服務的網路要求

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合資料安全性現在支援將Microsoft SQL Server 作為資料庫。 混合資料安全性中使用的 JDBC 驅動程式支援SQL Server永遠開啟(永遠開啟故障轉移叢集和始終開啟可用性群組)。 新增了與使用SQL Server 進行部署相關的內容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。 目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

                                                                                                                                                  2018 年 11 月 5 日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  變更了術語以反映Cisco Spark的品牌更名:

                                                                                                                                                  • Cisco Spark混合資料安全性現已更名為混合資料安全性。

                                                                                                                                                  • Cisco Spark應用程式現在更名為Webex App 應用程式。

                                                                                                                                                  • Cisco Collaboration Cloud 現已更名為Webex Cloud。

                                                                                                                                                  2018 年 4 月 11 日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509 憑證需求表,指定憑證不能是萬用憑證,且 KMS 使用 CN 網域,而不是 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017 年 11 月 2 日

                                                                                                                                                  • 釐清了 Hds TrialGroup 的目錄同步。

                                                                                                                                                  • 修正了上傳ISO組態檔以掛載到VM節點的指示。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次公佈

                                                                                                                                                  混合資料安全性入門

                                                                                                                                                  混合資料安全性概觀

                                                                                                                                                  從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

                                                                                                                                                  預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。

                                                                                                                                                  安全性領域架構

                                                                                                                                                  Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

                                                                                                                                                  分離領域(無混合資料安全性)

                                                                                                                                                  為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。

                                                                                                                                                  在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:

                                                                                                                                                  1. 用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。

                                                                                                                                                  2. 訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。

                                                                                                                                                  3. 加密的訊息傳送至合規服務進行合規檢查。

                                                                                                                                                  4. 加密的訊息儲存在儲存領域中。

                                                                                                                                                  部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。

                                                                                                                                                  與其他組織協作

                                                                                                                                                  您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

                                                                                                                                                  在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。

                                                                                                                                                  對部署混合資料安全性的預期

                                                                                                                                                  混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。

                                                                                                                                                  若要部署混合資料安全性,您必須提供:

                                                                                                                                                  完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:

                                                                                                                                                  • 管理資料庫及設定ISO的備份與復原。

                                                                                                                                                  • 準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。


                                                                                                                                                   

                                                                                                                                                  沒有任何機制可在部署 HDS 後將金鑰移回雲端。

                                                                                                                                                  高階設定過程

                                                                                                                                                  此文件涵蓋「混合資料安全性」部署的設定和管理:

                                                                                                                                                  • 設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。

                                                                                                                                                    接下來的三章將詳細涵蓋設定、試用和生產階段。

                                                                                                                                                  • 維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。

                                                                                                                                                  • 了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

                                                                                                                                                  在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)

                                                                                                                                                  叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。

                                                                                                                                                  當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。

                                                                                                                                                  每個組織僅支援一個叢集。

                                                                                                                                                  混合資料安全性試用模式

                                                                                                                                                  在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。

                                                                                                                                                  如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。

                                                                                                                                                  如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。

                                                                                                                                                  用於災害復原的備用資料中心

                                                                                                                                                  在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手動故障轉換至備用資料中心

                                                                                                                                                  作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。


                                                                                                                                                   

                                                                                                                                                  作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

                                                                                                                                                  設定備用資料中心以進行災害復原

                                                                                                                                                  請遵循下列步驟來設定備用資料中心的ISO檔案:

                                                                                                                                                  準備工作

                                                                                                                                                  • 備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)

                                                                                                                                                  • 請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 以驗證節點是否處於被動模式。 您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

                                                                                                                                                  下一步

                                                                                                                                                  設定後 passiveMode 在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode 設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode 已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,

                                                                                                                                                  Proxy 支援

                                                                                                                                                  混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

                                                                                                                                                  混合資料安全節點支援以下 Proxy 選項:

                                                                                                                                                  • 無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。

                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。

                                                                                                                                                  • 透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:

                                                                                                                                                      • HTTP — 檢視並控制用戶端傳送的所有請求。

                                                                                                                                                      • HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                  混合資料安全節點和 Proxy 的範例

                                                                                                                                                  此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

                                                                                                                                                  已封鎖外部 DNS 解析模式(明確 Proxy 設定)

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

                                                                                                                                                  準備您的環境

                                                                                                                                                  混合資料安全性的需求

                                                                                                                                                  Cisco Webex授權需求

                                                                                                                                                  若要部署混合資料安全性:

                                                                                                                                                  Docker 桌面需求

                                                                                                                                                  安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。

                                                                                                                                                  X.509 憑證需求

                                                                                                                                                  憑證鏈結必須符合下列需求:

                                                                                                                                                  表 1. 混合資料安全性部署的 X.509 憑證需求

                                                                                                                                                  需求

                                                                                                                                                  詳細資訊

                                                                                                                                                  • 由受信任的憑證授權單位(CA) 簽署

                                                                                                                                                  依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱

                                                                                                                                                  • 不是萬用憑證

                                                                                                                                                  不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, hds.company.com

                                                                                                                                                  CN 不能包含 *(萬用字元)。

                                                                                                                                                  CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。

                                                                                                                                                  • 非 SHA1 簽章

                                                                                                                                                  KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。

                                                                                                                                                  • 已格式化為受密碼保護的 PKCS #12 檔案

                                                                                                                                                  • 使用的易記名稱: kms-private-key 標記憑證、私密金鑰以及要上傳的任何中間憑證。

                                                                                                                                                  您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。

                                                                                                                                                  當您執行 HDS 設定工具時,您將需要輸入密碼。

                                                                                                                                                  KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。

                                                                                                                                                  虛擬主機需求

                                                                                                                                                  您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:

                                                                                                                                                  • 至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心

                                                                                                                                                  • VMware ESXi 6.5(或更高版本)已安裝且正在執行。


                                                                                                                                                     

                                                                                                                                                    如果您具有較舊的 ESXi 版本,則必須升級。

                                                                                                                                                  • 每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

                                                                                                                                                  資料庫伺服器需求


                                                                                                                                                   

                                                                                                                                                  建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

                                                                                                                                                  資料庫伺服器有兩個選項。 每個項目的需求如下:

                                                                                                                                                  表格 2. 依資料庫類型排列資料庫伺服器需求

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • 已安裝且正在執行 PostgreSQL 14、15 或 16。

                                                                                                                                                  • 已安裝SQL Server 2016、2017 或 2019(企業版或標準版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC 驅動程式 42.2.5

                                                                                                                                                  SQL Server JDBC 驅動程式 4.6

                                                                                                                                                  此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例AlwaysOn 可用性群組)。

                                                                                                                                                  針對Microsoft SQL Server 的 Windows 驗證的其他需求

                                                                                                                                                  如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:

                                                                                                                                                  • HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。

                                                                                                                                                  • 您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。

                                                                                                                                                  • 您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。

                                                                                                                                                  • 您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱

                                                                                                                                                    HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。

                                                                                                                                                  外部連線需求

                                                                                                                                                  設定您的防火牆,以允許 HDS 應用程式進行以下連線:

                                                                                                                                                  應用程式

                                                                                                                                                  通訊協定

                                                                                                                                                  連接埠

                                                                                                                                                  來自應用程式的方向

                                                                                                                                                  目標

                                                                                                                                                  混合資料安全節點

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS 和 WSS

                                                                                                                                                  • Webex伺服器:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • 中針對混合資料安全性列出的其他 URL: Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求

                                                                                                                                                  HDS 設定工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • Hub.docker.com


                                                                                                                                                   

                                                                                                                                                  「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。

                                                                                                                                                  通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:

                                                                                                                                                  地區

                                                                                                                                                  通用身份識別主持人 URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  歐盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy 伺服器要求

                                                                                                                                                  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

                                                                                                                                                    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

                                                                                                                                                    • 明確 Proxy — Squid。


                                                                                                                                                       

                                                                                                                                                      檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性

                                                                                                                                                  • 我們支援明確 Proxy 的以下驗證類型組合:

                                                                                                                                                    • 不使用 HTTP 或 HTTPS 進行驗證

                                                                                                                                                    • 使用 HTTP 或 HTTPS 進行基本驗證

                                                                                                                                                    • 僅使用 HTTPS 進行摘要式驗證

                                                                                                                                                  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

                                                                                                                                                  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

                                                                                                                                                  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至 wbx2.comciscospark.com 將解決問題。

                                                                                                                                                  完成混合資料安全性的先決條件

                                                                                                                                                  使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。
                                                                                                                                                  1

                                                                                                                                                  確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。

                                                                                                                                                  2

                                                                                                                                                  為您的 HDS 部署選擇網域名稱(例如, hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。 憑證鏈結必須符合 X.509 憑證需求

                                                                                                                                                  3

                                                                                                                                                  準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求

                                                                                                                                                  4

                                                                                                                                                  根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。

                                                                                                                                                  1. 建立金鑰儲存用的資料庫。 (您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。)

                                                                                                                                                  2. 收集節點將用來與資料庫伺服器通訊的詳細資料:

                                                                                                                                                    • 主持人名稱或IP 位址(host) 和通訊埠

                                                                                                                                                    • 用於金鑰儲存的資料庫名稱 (dbname)

                                                                                                                                                    • 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

                                                                                                                                                  5

                                                                                                                                                  為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。

                                                                                                                                                  6

                                                                                                                                                  設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。


                                                                                                                                                   

                                                                                                                                                  因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失該內容的。

                                                                                                                                                  Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。

                                                                                                                                                  8

                                                                                                                                                  請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求

                                                                                                                                                  9

                                                                                                                                                  安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。

                                                                                                                                                  若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求

                                                                                                                                                  10

                                                                                                                                                  如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求

                                                                                                                                                  11

                                                                                                                                                  如果您的組織使用目錄同步,請在Active Directory中建立一個名為 HdsTrialGroup ,並新增試用使用者。 試用群組最多可以有 250 個使用者。 該 HdsTrialGroup 必須將物件同步到雲端,然後才能為組織開始試用服務。 若要同步群組物件,請在 Directory Connector 的 設定>物件選取功能表。 (如需詳細指示,請參閱Cisco目錄連接器的部署指南。 )


                                                                                                                                                   

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。 當使用者的應用程式重新整理其快取的內容副本時,該遺失立即變得明顯。

                                                                                                                                                  設定混合資料安全叢集

                                                                                                                                                  混合資料安全性部署任務流程

                                                                                                                                                  準備工作

                                                                                                                                                  準備您的環境

                                                                                                                                                  1

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  將 OVA 檔案下載到您的本地機器以供稍後使用。

                                                                                                                                                  2

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

                                                                                                                                                  3

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。

                                                                                                                                                  5

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

                                                                                                                                                  6

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。

                                                                                                                                                  7

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

                                                                                                                                                  8

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  完成叢集設定。

                                                                                                                                                  9

                                                                                                                                                  執行試用並移至生產(下一章)

                                                                                                                                                  在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。 您稍後將在安裝過程中使用此檔案。
                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後按一下服務

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定

                                                                                                                                                  如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。


                                                                                                                                                   

                                                                                                                                                  您也可以隨時從說明區段上的設定頁面。 在混合資料安全性卡片上,按一下編輯設定以開啟頁面。 然後,按一下下載「混合資料安全性」軟體說明區段。


                                                                                                                                                   

                                                                                                                                                  較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。 這可能會導致升級應用程式時發生問題。 請確保下載最新版本的 OVA 檔案。

                                                                                                                                                  3

                                                                                                                                                  選取以指示您尚未"安裝;設定"該節點,然後按一下下一個

                                                                                                                                                  OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
                                                                                                                                                  4

                                                                                                                                                  (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:

                                                                                                                                                    • 資料庫認證

                                                                                                                                                    • 憑證更新

                                                                                                                                                    • 授權原則的變更

                                                                                                                                                  • 如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

                                                                                                                                                  1

                                                                                                                                                  在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2

                                                                                                                                                  若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密碼提示中,輸入此雜湊:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下載適用於您環境的最新穩定映像:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  提取完成後,輸入適用於您環境的指令:

                                                                                                                                                  • 在沒有 Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  使用 Web 瀏覽器轉至 本地主機, http://127.0.0.1:8080 ,並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

                                                                                                                                                  此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。

                                                                                                                                                  7

                                                                                                                                                  提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。

                                                                                                                                                  8

                                                                                                                                                  在設定工具概觀頁上,按一下開始使用

                                                                                                                                                  9

                                                                                                                                                  ISO匯入頁面上,您有下列選項:

                                                                                                                                                  • — 如果您要建立第一個 HDS 節點,則您沒有要上傳的ISO檔案。
                                                                                                                                                  • - 如果您已建立 HDS 節點,則您在瀏覽中選取ISO檔案並上傳。
                                                                                                                                                  10

                                                                                                                                                  檢查您的 X.509 憑證是否符合X.509 憑證需求

                                                                                                                                                  • 如果您之前從未上傳過憑證,請上傳 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  • 如果您的憑證確定,請按一下繼續
                                                                                                                                                  • 如果您的憑證已過期或您要取代它,請選取繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎? 。 上傳新的 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  11

                                                                                                                                                  輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區:

                                                                                                                                                  1. 選取您的資料庫類型 PostgresMicrosoft SQL Server )。

                                                                                                                                                    如果您選擇Microsoft SQL Server ,您會獲得一個驗證類型欄位。

                                                                                                                                                  2. Microsoft SQL Server僅))選取您的驗證類型

                                                                                                                                                    • 基本驗證: 您需要一個本機SQL Server帳戶名稱,使用者名稱欄位。

                                                                                                                                                    • Windows 驗證: 您需要一個 Windows 帳戶,格式為 username@DOMAIN使用者名稱欄位。

                                                                                                                                                  3. 在以下表格中輸入資料庫伺服器位址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    範例:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果節點無法使用DNS來解析主機名稱,您可以使用IP 位址進行基本驗證。

                                                                                                                                                    如果使用的是 Windows 驗證,則必須輸入以下格式的完整網域名稱: dbhost.example.org:1433

                                                                                                                                                  4. 輸入資料庫名稱

                                                                                                                                                  5. 輸入使用者名稱密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

                                                                                                                                                  12

                                                                                                                                                  選取一個TLS資料庫連線模式

                                                                                                                                                  模式

                                                                                                                                                  說明

                                                                                                                                                  偏好使用 TLS (預設選項)

                                                                                                                                                  HDS 節點不需要使用 TLS 連線到資料庫伺服器。 若您在資料庫伺服器上啟用TLS ,節點會嘗試進行加密連線。

                                                                                                                                                  需要 TLS

                                                                                                                                                  僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者


                                                                                                                                                   

                                                                                                                                                  此模式不適用於SQL Server 資料庫。

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者和主機名稱

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  • 節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。 名稱必須完全相符,否則節點將斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。)

                                                                                                                                                  13

                                                                                                                                                  在系統記錄頁上,設定您的 Syslogd 伺服器:

                                                                                                                                                  1. 輸入 syslog 伺服器URL。

                                                                                                                                                    如果無法從 HDS 叢集的節點DNS伺服器,請在URL中使用IP 位址。

                                                                                                                                                    範例:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
                                                                                                                                                  2. 如果您將伺服器"安裝;設定"為使用TLS加密,請勾選您的 syslog 伺服器是否設定為使用SSL加密?

                                                                                                                                                    如果勾選此勾選方塊,請確保輸入一個TCP URL ,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 選擇 syslog 記錄終止下拉清單,請為您的ISO檔案選擇適當的設定: 選擇或換行用於 Graylog 和 Rsyslog TCP

                                                                                                                                                    • 空值位元組 -- \x00

                                                                                                                                                    • 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。

                                                                                                                                                  4. 按一下繼續

                                                                                                                                                  14

                                                                                                                                                  (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  按一下繼續位於重設服務帳戶密碼螢幕。

                                                                                                                                                  服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。

                                                                                                                                                  16

                                                                                                                                                  按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。

                                                                                                                                                  17

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。

                                                                                                                                                  確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  18

                                                                                                                                                  若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。


                                                                                                                                                   

                                                                                                                                                  我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  使用此流程可從 OVA 檔案建立虛擬機器。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

                                                                                                                                                  2

                                                                                                                                                  選取檔案>部署 OVF 範本

                                                                                                                                                  3

                                                                                                                                                  在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個

                                                                                                                                                  4

                                                                                                                                                  選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  選取計算資源頁面上,選擇目標計算資源,然後按一下下一個

                                                                                                                                                  執行驗證檢查。 完成後,會出現範本詳細資料。

                                                                                                                                                  6

                                                                                                                                                  驗證範本詳細資料,然後按一下下一個

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個

                                                                                                                                                  8

                                                                                                                                                  選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。

                                                                                                                                                  9

                                                                                                                                                  選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。

                                                                                                                                                  10

                                                                                                                                                  自訂範本頁面,設定下列網路設定:

                                                                                                                                                  • 主機名稱— 輸入節點的 FQDN(主機名稱和網域)或單字主機名稱。

                                                                                                                                                     
                                                                                                                                                    • 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                    • 若要確保成功註冊雲端,請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。 目前不支援大寫。

                                                                                                                                                    • FQDN 的總長度不得超過 64 個字元。

                                                                                                                                                  • IP位址— 輸入節點內部介面的IP 位址。

                                                                                                                                                     

                                                                                                                                                    您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  • 遮罩— 以點十進製表示法輸入子網路遮罩位址。 譬如, 255.255.255.0
                                                                                                                                                  • 閘道—輸入閘道IP 位址。 閘道是用作另一個網路的存取點的網路節點。
                                                                                                                                                  • DNS伺服器— 輸入以逗號分隔的DNS伺服器清單,該伺服器負責將網域名稱轉換為數字IP位址。 (最多允許 4 個DNS項目。)
                                                                                                                                                  • NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。 預設NTP伺服器可能不適用於所有企業。 您還可以使用逗號分隔的清單來輸入多個NTP伺服器。
                                                                                                                                                  • 將所有節點部署在相同的子網路或VLAN上,以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

                                                                                                                                                  如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  在節點VM上按一下滑鼠右鍵,然後選擇電源>開啟電源

                                                                                                                                                  混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。

                                                                                                                                                  疑難排解提示

                                                                                                                                                  在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。

                                                                                                                                                  1

                                                                                                                                                  在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。

                                                                                                                                                  VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
                                                                                                                                                  2

                                                                                                                                                  使用以下預設登入和密碼來登入和變更認證:

                                                                                                                                                  1. 登入: admin

                                                                                                                                                  2. 密碼: cisco

                                                                                                                                                  由於您是首次登入VM ,因此您必須變更管理員密碼。

                                                                                                                                                  3

                                                                                                                                                  如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。

                                                                                                                                                  4

                                                                                                                                                  使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  5

                                                                                                                                                  (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。

                                                                                                                                                  您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                  6

                                                                                                                                                  儲存網路組態設定並重新啟動VM以使變更生效。

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

                                                                                                                                                  準備工作

                                                                                                                                                  因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。

                                                                                                                                                  1

                                                                                                                                                  從您的電腦上傳ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,按一下 ESXi 伺服器。

                                                                                                                                                  2. 在組態標籤的硬體清單中,按一下儲存

                                                                                                                                                  3. 在資料儲存區清單中,按右鍵一下 VM 的資料儲存區,然後按一下瀏覽資料儲存區

                                                                                                                                                  4. 按一下上傳檔案圖示,然後按一下上傳檔案

                                                                                                                                                  5. 瀏覽到您在電腦上下載ISO檔案的位置,然後按一下開啟

                                                                                                                                                  6. 按一下接受上傳/下載操作警告,並關閉資料存放區對話。

                                                                                                                                                  2

                                                                                                                                                  裝載ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  2. 按一下確定接受受限編輯選項警告。

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 ,選取從資料儲存區ISO檔案裝載的選項,然後瀏覽到您上傳設定ISO檔案的位置。

                                                                                                                                                  4. 檢查已連線開啟電源時連接

                                                                                                                                                  5. 儲存變更並重新啟動虛擬機器。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

                                                                                                                                                  準備工作

                                                                                                                                                  1

                                                                                                                                                  輸入 HDS 節點設定URL https://[HDS Node IP or FQDN]/setup 在 Web 瀏覽器中,輸入您為節點"安裝;設定"的管理員認證,然後按一下 登入

                                                                                                                                                  2

                                                                                                                                                  轉至信任儲存庫和 Proxy,然後選擇一個選項:

                                                                                                                                                  • 無 Proxy — 整合 Proxy 之前的預設選項。 無需更新憑證。
                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
                                                                                                                                                  • 透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知用戶端(HDS 節點)使用哪個 Proxy 伺服器,並且此選項支援多種驗證類型。 選擇此選項後,您必須輸入以下資訊:
                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 選擇 http(檢視和控制從用戶端收到的所有請求)或 https(提供通往伺服器的通道,且用戶端接收並驗證伺服器的憑證)。 根據 Proxy 伺服器支援的內容來選擇一個選項。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅適用於 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                  針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

                                                                                                                                                  3

                                                                                                                                                  按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

                                                                                                                                                  憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

                                                                                                                                                  如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」

                                                                                                                                                  5

                                                                                                                                                  連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

                                                                                                                                                  節點會在幾分鐘內重新啟動。

                                                                                                                                                  7

                                                                                                                                                  節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

                                                                                                                                                  Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  此工作採用您在設定混合資料安全VM ,向Webex雲端註冊節點,並將其轉換為「混合資料安全性」節點。

                                                                                                                                                  註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  從螢幕左側的功能表中,選取服務

                                                                                                                                                  3

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  出現「註冊混合資料安全節點」頁。
                                                                                                                                                  4

                                                                                                                                                  選取以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。

                                                                                                                                                  我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」

                                                                                                                                                  6

                                                                                                                                                  在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                  此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM

                                                                                                                                                  將出現一則訊息,指出您可以向Webex註冊您的節點。
                                                                                                                                                  7

                                                                                                                                                  按一下移至節點。

                                                                                                                                                  8

                                                                                                                                                  按一下警告訊息中的繼續。

                                                                                                                                                  稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
                                                                                                                                                  9

                                                                                                                                                  檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                  您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  10

                                                                                                                                                  按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  若要向叢集新增其他節點,您只需建立其他 VM 並裝載相同的ISO設定檔案,然後註冊節點。 我們建議您至少有 3 個節點。

                                                                                                                                                   

                                                                                                                                                  目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA

                                                                                                                                                  2

                                                                                                                                                  在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO

                                                                                                                                                  4

                                                                                                                                                  如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。

                                                                                                                                                  5

                                                                                                                                                  註冊節點。

                                                                                                                                                  1. 輸入https://admin.webex.com,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2. 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下資源

                                                                                                                                                    出現「混合資料安全性資源」頁。
                                                                                                                                                  3. 按一下新增資源

                                                                                                                                                  4. 在第一個欄位中,選取現有叢集的名稱。

                                                                                                                                                  5. 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                    系統將顯示一則訊息,指出您可以將節點註冊到Webex雲端。
                                                                                                                                                  6. 按一下移至節點。

                                                                                                                                                    稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向組織授予權限,以存取您的節點。
                                                                                                                                                  7. 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                    您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  8. 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下一步

                                                                                                                                                  執行試用並移至生產(下一章)
                                                                                                                                                  執行試用並移至生產

                                                                                                                                                  試用到生產任務流程

                                                                                                                                                  "安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。

                                                                                                                                                  1

                                                                                                                                                  如果適用,請同步 HdsTrialGroup 群組物件。

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能開始試用。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  2

                                                                                                                                                  啟動試用服務

                                                                                                                                                  開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。

                                                                                                                                                  3

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  4

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  檢查狀態,並"安裝;設定"的電子郵件通知。

                                                                                                                                                  5

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  6

                                                                                                                                                  使用下列動作之一完成試用階段:

                                                                                                                                                  啟動試用服務

                                                                                                                                                  準備工作

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下開始試用

                                                                                                                                                  服務狀態變更為試用模式。
                                                                                                                                                  4

                                                                                                                                                  按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。

                                                                                                                                                  (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, HdsTrialGroup.)

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  使用此流程來測試「混合資料安全性」加密情境。

                                                                                                                                                  準備工作

                                                                                                                                                  • 設定您的「混合資料安全性」部署。

                                                                                                                                                  • 啟用試用服務,並新增多個試用服務使用者。

                                                                                                                                                  • 請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

                                                                                                                                                  1

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。


                                                                                                                                                   

                                                                                                                                                  如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。

                                                                                                                                                  2

                                                                                                                                                  傳送訊息至新空間。

                                                                                                                                                  3

                                                                                                                                                  檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  1. 若要檢查是否有使用者首先建立通往 KMS 的安全通道,請篩選 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION

                                                                                                                                                    您應該會找到如下所示的項目(為便於閱讀而縮短了標識符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 若要檢查是否有使用者從 KMS 請求現有金鑰,請篩選 kms.data.method=retrievekms.data.type=KEY

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 若要檢查是否有使用者請求建立新的 KMS 金鑰,請篩選 kms.data.method=createkms.data.type=KEY_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO),請篩選 kms.data.method=createkms.data.type=RESOURCE_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。 如需更主動的警示,請註冊電子郵件通知。 當發生影響服務的警報或軟體升級時,您將會收到通知。
                                                                                                                                                  1

                                                                                                                                                  輸入Control Hub ,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  隨即顯示混合資料安全性設定頁面。
                                                                                                                                                  3

                                                                                                                                                  在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  在您啟動試用服務並新增初始試用使用者集後,您可以在試用服務有效期間隨時新增或移除試用成員。

                                                                                                                                                  如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。

                                                                                                                                                  如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。

                                                                                                                                                  4

                                                                                                                                                  輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存

                                                                                                                                                  從試用服務移至生產環境

                                                                                                                                                  當您對您的部署適用於試用使用者感到滿意時,可以移至生產。 當您移至生產時,組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。 除非您在災害復原過程中停用該服務,否則您無法從生產環境移回試用模式。 重新啟動服務需要"安裝;設定"新的試用服務。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下移至生產環境

                                                                                                                                                  4

                                                                                                                                                  確認您要將所有使用者移至生產環境。

                                                                                                                                                  在不移至生產的情況下結束試用服務

                                                                                                                                                  如果在試用期間,您決定不繼續部署「混合資料安全性」,您可以停用「混合資料安全性」,這將結束試用服務,並將試用使用者移回雲端資料安全性服務。 試用使用者將失去對試用期間加密的資料的存取權。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在停用區段中,按一下停用

                                                                                                                                                  4

                                                                                                                                                  確認您要停用服務並結束試用服務。

                                                                                                                                                  管理您的 HDS 部署

                                                                                                                                                  管理 HDS 部署

                                                                                                                                                  使用這裡描述的任務來管理您的「混合資料安全性」部署。

                                                                                                                                                  設定叢集升級排程

                                                                                                                                                  混合資料安全性的軟體升級可在叢集層級自動完成,從而確保所有節點始終執行相同的軟體版本。 根據叢集的升級排程來完成升級。 當軟體升級變成可用時,您可以選擇在排定的升級時間之前手動升級叢集。 可以設定特定的升級排程,或者使用預設排程(美國每天凌晨 3:00): 美洲/洛杉磯。 必要時,也可以選擇延遲即將進行的升級。

                                                                                                                                                  若要設定升級排程:

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在概觀頁面上的混合服務下,選取混合資料安全性

                                                                                                                                                  3

                                                                                                                                                  在「混合資料安全性資源」頁上,選取叢集。

                                                                                                                                                  4

                                                                                                                                                  在右側的概觀面板中,在叢集設定下,選取叢集名稱。

                                                                                                                                                  5

                                                                                                                                                  在「設定」頁面上的「升級」下,選取升級排程的時間和時區。

                                                                                                                                                  附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。

                                                                                                                                                  變更節點組態

                                                                                                                                                  偶爾出於如下原因,您可能需要變更混合資料安全節點的設定:
                                                                                                                                                  • 由於到期或其他原因而變更 x.509 憑證。


                                                                                                                                                     

                                                                                                                                                    我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。

                                                                                                                                                  • 更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。


                                                                                                                                                     

                                                                                                                                                    我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。

                                                                                                                                                  • 建立新的設定以準備新的資料中心。

                                                                                                                                                  同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:

                                                                                                                                                  • 軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。

                                                                                                                                                  • 硬重設 — 舊密碼會立即停止作用。

                                                                                                                                                  如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。

                                                                                                                                                  使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。

                                                                                                                                                  1

                                                                                                                                                  在本端機器上使用 Docker 來執行「HDS 設定」工具。

                                                                                                                                                  1. 在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2. 若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密碼提示中,輸入此雜湊:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下載適用於您環境的最新穩定映像:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

                                                                                                                                                  5. 提取完成後,輸入適用於您環境的指令:

                                                                                                                                                    • 在沒有 Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6. 使用瀏覽器來連線 localhost,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  7. 提示時,輸入 Control Hub 客戶登入認證,然後按一下接受以繼續作業。

                                                                                                                                                  8. 匯入現行設定 ISO 檔案。

                                                                                                                                                  9. 遵循提示來完成工具並下載更新檔。

                                                                                                                                                    若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  10. 在其他資料中心中建立已更新檔案的備份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點

                                                                                                                                                  1. 安裝 HDS 主機 OVA。

                                                                                                                                                  2. 設定 HDS 虛擬機器。

                                                                                                                                                  3. 安裝已更新的設定檔案。

                                                                                                                                                  4. 在 Control Hub 中註冊新的節點。

                                                                                                                                                  3

                                                                                                                                                  針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點:

                                                                                                                                                  1. 關閉虛擬機器。

                                                                                                                                                  2. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1,選取從 ISO 檔案安裝的選項,並瀏覽至您下載新設定 ISO 檔案的位置。

                                                                                                                                                  4. 勾選開啟電源時連線

                                                                                                                                                  5. 儲存變更並開啟虛擬機器的電源。

                                                                                                                                                  4

                                                                                                                                                  重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

                                                                                                                                                  關閉封鎖的外部 DNS 解析模式

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。

                                                                                                                                                  如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

                                                                                                                                                  準備工作

                                                                                                                                                  確保您的內部 DNS 伺服器可以解析公用 DNS 名稱,而且您的節點可以與它們通訊。
                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至概觀(預設頁面)。

                                                                                                                                                  啟用時,封鎖的外部 DNS 解析設定為

                                                                                                                                                  3

                                                                                                                                                  轉至信任儲存庫和 Proxy 頁面。

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。

                                                                                                                                                  下一步

                                                                                                                                                  在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

                                                                                                                                                  移除節點

                                                                                                                                                  使用此流程從Webex雲端移除「混合資料安全性」節點。 從叢集中移除節點後,請刪除虛擬機器以防止進一步存取您的安全性資料。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。

                                                                                                                                                  2

                                                                                                                                                  移除節點:

                                                                                                                                                  1. 登入 Control Hub,然後選取服務

                                                                                                                                                  2. 在混合資料安全性卡片上,按一下檢視全部以顯示「混合資料安全性資源」頁。

                                                                                                                                                  3. 選取您的叢集以顯示其概觀面板。

                                                                                                                                                  4. 按一下開啟節點清單

                                                                                                                                                  5. 在節點標籤上,選取要移除的節點。

                                                                                                                                                  6. 按一下動作>取消註冊節點

                                                                                                                                                  3

                                                                                                                                                  在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。)

                                                                                                                                                  如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。

                                                                                                                                                  使用待機資料中心進行災害復原

                                                                                                                                                  混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。

                                                                                                                                                  因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:

                                                                                                                                                  若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。 進行此設定後,節點即可處理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。 「KMS 已設定為被動模式」不應出現在系統記錄中。

                                                                                                                                                  下一步

                                                                                                                                                  在容錯移轉後,如果主資料中心再次變為活躍狀態,請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原

                                                                                                                                                  (可選)在 HDS 配置後解除掛載ISO

                                                                                                                                                  標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

                                                                                                                                                  您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。

                                                                                                                                                  準備工作

                                                                                                                                                  將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

                                                                                                                                                  1

                                                                                                                                                  關閉其中一個 HDS 節點。

                                                                                                                                                  2

                                                                                                                                                  在 vCenter Server Appliance 中,選取 HDS 節點。

                                                                                                                                                  3

                                                                                                                                                  選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案

                                                                                                                                                  4

                                                                                                                                                  開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。

                                                                                                                                                  5

                                                                                                                                                  依次為每個 HDS 節點重複此操作。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  檢視警示和疑難排解

                                                                                                                                                  如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:

                                                                                                                                                  • 無法建立新空間(無法建立新鍵)

                                                                                                                                                  • 訊息和空間標題無法解密:

                                                                                                                                                    • 新使用者新增至空間(無法擷取金鑰)

                                                                                                                                                    • 使用新用戶端的空間中的現有使用者(無法擷取金鑰)

                                                                                                                                                  • 空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取

                                                                                                                                                  請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

                                                                                                                                                  警示

                                                                                                                                                  如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。

                                                                                                                                                  表 1. 常見問題及解決問題的步驟

                                                                                                                                                  警示

                                                                                                                                                  動作

                                                                                                                                                  本端資料庫存取失敗。

                                                                                                                                                  檢查是否存在資料庫錯誤或本地網路問題。

                                                                                                                                                  本機資料庫連線失敗。

                                                                                                                                                  檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。

                                                                                                                                                  存取雲端服務失敗。

                                                                                                                                                  檢查節點是否可以存取中指定的Webex伺服器外部連線需求

                                                                                                                                                  正在更新雲端服務註冊。

                                                                                                                                                  已刪除對雲端服務的註冊。 進行中重新註冊註冊。

                                                                                                                                                  雲端服務註冊已刪除。

                                                                                                                                                  向雲端服務的註冊已終止。 服務正在關閉。

                                                                                                                                                  服務尚未啟動。

                                                                                                                                                  啟用試用服務,或完成將試用服務移至生產環境。

                                                                                                                                                  設定的網域與伺服器憑證不相符。

                                                                                                                                                  請確保您的伺服器憑證符合設定的服務啟動網域。

                                                                                                                                                  最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。

                                                                                                                                                  無法針對雲端服務進行驗證。

                                                                                                                                                  檢查服務帳戶認證的準確性及是否可能過期。

                                                                                                                                                  無法開啟本機金鑰儲存區檔案。

                                                                                                                                                  檢查本機金鑰存放區檔案的完整性和密碼準確度。

                                                                                                                                                  本機伺服器憑證無效。

                                                                                                                                                  檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。

                                                                                                                                                  無法公佈指標。

                                                                                                                                                  檢查對外部雲端服務的本地網路存取。

                                                                                                                                                  /media/configDrive/hds 目錄不存在。

                                                                                                                                                  檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  當對混合資料安全性問題進行疑難排解時,請使用以下一般準則。
                                                                                                                                                  1

                                                                                                                                                  複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。

                                                                                                                                                  2

                                                                                                                                                  複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。

                                                                                                                                                  3

                                                                                                                                                  聯絡Cisco 支援

                                                                                                                                                  其他附註

                                                                                                                                                  混合資料安全性的已知問題

                                                                                                                                                  • 如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。

                                                                                                                                                  • 與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。

                                                                                                                                                    當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。

                                                                                                                                                  使用 OpenSSL 產生 PKCS12 檔案

                                                                                                                                                  準備工作

                                                                                                                                                  • OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。

                                                                                                                                                  • 如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。

                                                                                                                                                  • 在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。

                                                                                                                                                  • 建立私密金鑰。

                                                                                                                                                  • 當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。

                                                                                                                                                  1

                                                                                                                                                  當您從 CA 收到伺服器憑證時,將其另存為 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  將憑證顯示為文字,並驗證詳細資料。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文字編輯器建立一個名為 hdsnode-bundle.pem 。 組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證,格式如下:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用易記名稱建立 .p12 檔案 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  檢查伺服器憑證詳細資料。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示時輸入密碼以加密私密金鑰,使其在輸出中列出。 然後,驗證私密金鑰和第一個憑證是否包含以下行 friendlyName: kms-private-key

                                                                                                                                                    範例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。

                                                                                                                                                  HDS 節點與雲端之間的流量

                                                                                                                                                  輸出指標收集流量

                                                                                                                                                  混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。

                                                                                                                                                  入埠流量

                                                                                                                                                  混合資料安全性節點從Webex雲端接收以下類型的入埠流量:

                                                                                                                                                  • 來自用戶端的加密請求,由加密服務路由

                                                                                                                                                  • 升級至節點軟體

                                                                                                                                                  設定 Squid Proxy 以實現混合資料安全

                                                                                                                                                  Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss: 流量,從而確保服務正確運作。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  新增 on_unsupported_protocol 指示為 squid.conf

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf 。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新的和變更的資訊

                                                                                                                                                  日期

                                                                                                                                                  進行的變更

                                                                                                                                                  2023 年 10 月 20 日

                                                                                                                                                  2023 年 8 月 7 日

                                                                                                                                                  2023 年 5 月 23 日

                                                                                                                                                  2022 年 12 月 6 日

                                                                                                                                                  2022 年 11 月 23 日

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  2021 年 1 月 11 日

                                                                                                                                                  新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  已更新下載安裝檔案

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態用於 FedRAMP 環境的指令。

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態登入程序變更。

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

                                                                                                                                                  已更新虛擬主機需求以移除數目上限的主機。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  已更新移除節點了解 Control Hub UI 中的變更。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  已更新外部連線需求與新的美洲 CI 主機搭配。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  已更新外部連線需求包含有關區域 CI 主機的資訊。

                                                                                                                                                  2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。
                                                                                                                                                  2020 年 2 月 4 日已更新Proxy 伺服器需求
                                                                                                                                                  2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下章節中新增了有關已封鎖外部DNS解析模式的資訊:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。

                                                                                                                                                  已相應地更新了下列章節:


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  新增SQL Server Standard 至資料庫伺服器需求

                                                                                                                                                  2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

                                                                                                                                                  若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

                                                                                                                                                  2019 年 6 月 13 日已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。
                                                                                                                                                  2019 年 3 月 6 日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB,以反映 OVA 建立的磁碟大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線,以及與具有TLS功能的 syslog 伺服器的加密記錄連線。 已更新為 HDS 主機建立設定ISO並附有指示。

                                                                                                                                                  • 從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。 表格現在引用了在下列情況下維護的Webex: Webex Teams 服務的網路要求

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合資料安全性現在支援將Microsoft SQL Server 作為資料庫。 混合資料安全性中使用的 JDBC 驅動程式支援SQL Server永遠開啟(永遠開啟故障轉移叢集和始終開啟可用性群組)。 新增了與使用SQL Server 進行部署相關的內容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。 目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

                                                                                                                                                  2018 年 11 月 5 日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  變更了術語以反映Cisco Spark的品牌更名:

                                                                                                                                                  • Cisco Spark混合資料安全性現已更名為混合資料安全性。

                                                                                                                                                  • Cisco Spark應用程式現在更名為Webex App 應用程式。

                                                                                                                                                  • Cisco Collaboration Cloud 現已更名為Webex Cloud。

                                                                                                                                                  2018 年 4 月 11 日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509 憑證需求表,指定憑證不能是萬用憑證,且 KMS 使用 CN 網域,而不是 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017 年 11 月 2 日

                                                                                                                                                  • 釐清了 Hds TrialGroup 的目錄同步。

                                                                                                                                                  • 修正了上傳ISO組態檔以掛載到VM節點的指示。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次公佈

                                                                                                                                                  混合資料安全性入門

                                                                                                                                                  混合資料安全性概觀

                                                                                                                                                  從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

                                                                                                                                                  預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。

                                                                                                                                                  安全性領域架構

                                                                                                                                                  Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

                                                                                                                                                  分離領域(無混合資料安全性)

                                                                                                                                                  為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。

                                                                                                                                                  在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:

                                                                                                                                                  1. 用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。

                                                                                                                                                  2. 訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。

                                                                                                                                                  3. 加密的訊息傳送至合規服務進行合規檢查。

                                                                                                                                                  4. 加密的訊息儲存在儲存領域中。

                                                                                                                                                  部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。

                                                                                                                                                  與其他組織協作

                                                                                                                                                  您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

                                                                                                                                                  在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。

                                                                                                                                                  對部署混合資料安全性的預期

                                                                                                                                                  混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。

                                                                                                                                                  若要部署混合資料安全性,您必須提供:

                                                                                                                                                  完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:

                                                                                                                                                  • 管理資料庫及設定ISO的備份與復原。

                                                                                                                                                  • 準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。


                                                                                                                                                   

                                                                                                                                                  沒有任何機制可在部署 HDS 後將金鑰移回雲端。

                                                                                                                                                  高階設定過程

                                                                                                                                                  此文件涵蓋「混合資料安全性」部署的設定和管理:

                                                                                                                                                  • 設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。

                                                                                                                                                    接下來的三章將詳細涵蓋設定、試用和生產階段。

                                                                                                                                                  • 維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。

                                                                                                                                                  • 了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

                                                                                                                                                  在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)

                                                                                                                                                  叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。

                                                                                                                                                  當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。

                                                                                                                                                  每個組織僅支援一個叢集。

                                                                                                                                                  混合資料安全性試用模式

                                                                                                                                                  在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。

                                                                                                                                                  如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。

                                                                                                                                                  如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。

                                                                                                                                                  用於災害復原的備用資料中心

                                                                                                                                                  在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手動故障轉換至備用資料中心

                                                                                                                                                  作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。


                                                                                                                                                   

                                                                                                                                                  作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

                                                                                                                                                  設定備用資料中心以進行災害復原

                                                                                                                                                  請遵循下列步驟來設定備用資料中心的ISO檔案:

                                                                                                                                                  準備工作

                                                                                                                                                  • 備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)

                                                                                                                                                  • 請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 以驗證節點是否處於被動模式。 您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

                                                                                                                                                  下一步

                                                                                                                                                  設定後 passiveMode 在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode 設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode 已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,

                                                                                                                                                  Proxy 支援

                                                                                                                                                  混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

                                                                                                                                                  混合資料安全節點支援以下 Proxy 選項:

                                                                                                                                                  • 無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。

                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。

                                                                                                                                                  • 透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:

                                                                                                                                                      • HTTP — 檢視並控制用戶端傳送的所有請求。

                                                                                                                                                      • HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                  混合資料安全節點和 Proxy 的範例

                                                                                                                                                  此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

                                                                                                                                                  已封鎖外部 DNS 解析模式(明確 Proxy 設定)

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

                                                                                                                                                  準備您的環境

                                                                                                                                                  混合資料安全性的需求

                                                                                                                                                  Cisco Webex授權需求

                                                                                                                                                  若要部署混合資料安全性:

                                                                                                                                                  Docker 桌面需求

                                                                                                                                                  安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。

                                                                                                                                                  X.509 憑證需求

                                                                                                                                                  憑證鏈結必須符合下列需求:

                                                                                                                                                  表 1. 混合資料安全性部署的 X.509 憑證需求

                                                                                                                                                  需求

                                                                                                                                                  詳細資訊

                                                                                                                                                  • 由受信任的憑證授權單位(CA) 簽署

                                                                                                                                                  依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱

                                                                                                                                                  • 不是萬用憑證

                                                                                                                                                  不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, hds.company.com

                                                                                                                                                  CN 不能包含 *(萬用字元)。

                                                                                                                                                  CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。

                                                                                                                                                  • 非 SHA1 簽章

                                                                                                                                                  KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。

                                                                                                                                                  • 已格式化為受密碼保護的 PKCS #12 檔案

                                                                                                                                                  • 使用的易記名稱: kms-private-key 標記憑證、私密金鑰以及要上傳的任何中間憑證。

                                                                                                                                                  您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。

                                                                                                                                                  當您執行 HDS 設定工具時,您將需要輸入密碼。

                                                                                                                                                  KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。

                                                                                                                                                  虛擬主機需求

                                                                                                                                                  您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:

                                                                                                                                                  • 至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心

                                                                                                                                                  • VMware ESXi 6.5(或更高版本)已安裝且正在執行。


                                                                                                                                                     

                                                                                                                                                    如果您具有較舊的 ESXi 版本,則必須升級。

                                                                                                                                                  • 每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

                                                                                                                                                  資料庫伺服器需求


                                                                                                                                                   

                                                                                                                                                  建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

                                                                                                                                                  資料庫伺服器有兩個選項。 每個項目的需求如下:

                                                                                                                                                  表格 2. 依資料庫類型排列資料庫伺服器需求

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • 已安裝且正在執行 PostgreSQL 14、15 或 16。

                                                                                                                                                  • 已安裝SQL Server 2016、2017 或 2019(企業版或標準版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC 驅動程式 42.2.5

                                                                                                                                                  SQL Server JDBC 驅動程式 4.6

                                                                                                                                                  此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例AlwaysOn 可用性群組)。

                                                                                                                                                  針對Microsoft SQL Server 的 Windows 驗證的其他需求

                                                                                                                                                  如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:

                                                                                                                                                  • HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。

                                                                                                                                                  • 您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。

                                                                                                                                                  • 您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。

                                                                                                                                                  • 您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱

                                                                                                                                                    HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。

                                                                                                                                                  外部連線需求

                                                                                                                                                  設定您的防火牆,以允許 HDS 應用程式進行以下連線:

                                                                                                                                                  應用程式

                                                                                                                                                  通訊協定

                                                                                                                                                  連接埠

                                                                                                                                                  來自應用程式的方向

                                                                                                                                                  目標

                                                                                                                                                  混合資料安全節點

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS 和 WSS

                                                                                                                                                  • Webex伺服器:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • 中針對混合資料安全性列出的其他 URL: Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求

                                                                                                                                                  HDS 設定工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • Hub.docker.com


                                                                                                                                                   

                                                                                                                                                  「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。

                                                                                                                                                  通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:

                                                                                                                                                  地區

                                                                                                                                                  通用身份識別主持人 URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  歐盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy 伺服器要求

                                                                                                                                                  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

                                                                                                                                                    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

                                                                                                                                                    • 明確 Proxy — Squid。


                                                                                                                                                       

                                                                                                                                                      檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性

                                                                                                                                                  • 我們支援明確 Proxy 的以下驗證類型組合:

                                                                                                                                                    • 不使用 HTTP 或 HTTPS 進行驗證

                                                                                                                                                    • 使用 HTTP 或 HTTPS 進行基本驗證

                                                                                                                                                    • 僅使用 HTTPS 進行摘要式驗證

                                                                                                                                                  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

                                                                                                                                                  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

                                                                                                                                                  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至 wbx2.comciscospark.com 將解決問題。

                                                                                                                                                  完成混合資料安全性的先決條件

                                                                                                                                                  使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。
                                                                                                                                                  1

                                                                                                                                                  確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。

                                                                                                                                                  2

                                                                                                                                                  為您的 HDS 部署選擇網域名稱(例如, hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。 憑證鏈結必須符合 X.509 憑證需求

                                                                                                                                                  3

                                                                                                                                                  準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求

                                                                                                                                                  4

                                                                                                                                                  根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。

                                                                                                                                                  1. 建立金鑰儲存用的資料庫。 (您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。)

                                                                                                                                                  2. 收集節點將用來與資料庫伺服器通訊的詳細資料:

                                                                                                                                                    • 主持人名稱或IP 位址(host) 和通訊埠

                                                                                                                                                    • 用於金鑰儲存的資料庫名稱 (dbname)

                                                                                                                                                    • 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

                                                                                                                                                  5

                                                                                                                                                  為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。

                                                                                                                                                  6

                                                                                                                                                  設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。


                                                                                                                                                   

                                                                                                                                                  因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失該內容的。

                                                                                                                                                  Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。

                                                                                                                                                  8

                                                                                                                                                  請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求

                                                                                                                                                  9

                                                                                                                                                  安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。

                                                                                                                                                  若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求

                                                                                                                                                  10

                                                                                                                                                  如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求

                                                                                                                                                  11

                                                                                                                                                  如果您的組織使用目錄同步,請在Active Directory中建立一個名為 HdsTrialGroup ,並新增試用使用者。 試用群組最多可以有 250 個使用者。 該 HdsTrialGroup 必須將物件同步到雲端,然後才能為組織開始試用服務。 若要同步群組物件,請在 Directory Connector 的 設定>物件選取功能表。 (如需詳細指示,請參閱Cisco目錄連接器的部署指南。 )


                                                                                                                                                   

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。 當使用者的應用程式重新整理其快取的內容副本時,該遺失立即變得明顯。

                                                                                                                                                  設定混合資料安全叢集

                                                                                                                                                  混合資料安全性部署任務流程

                                                                                                                                                  準備工作

                                                                                                                                                  準備您的環境

                                                                                                                                                  1

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  將 OVA 檔案下載到您的本地機器以供稍後使用。

                                                                                                                                                  2

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

                                                                                                                                                  3

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。

                                                                                                                                                  5

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

                                                                                                                                                  6

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。

                                                                                                                                                  7

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

                                                                                                                                                  8

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  完成叢集設定。

                                                                                                                                                  9

                                                                                                                                                  執行試用並移至生產(下一章)

                                                                                                                                                  在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。 您稍後將在安裝過程中使用此檔案。
                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後按一下服務

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定

                                                                                                                                                  如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。


                                                                                                                                                   

                                                                                                                                                  您也可以隨時從說明區段上的設定頁面。 在混合資料安全性卡片上,按一下編輯設定以開啟頁面。 然後,按一下下載「混合資料安全性」軟體說明區段。


                                                                                                                                                   

                                                                                                                                                  較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。 這可能會導致升級應用程式時發生問題。 請確保下載最新版本的 OVA 檔案。

                                                                                                                                                  3

                                                                                                                                                  選取以指示您尚未"安裝;設定"該節點,然後按一下下一個

                                                                                                                                                  OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
                                                                                                                                                  4

                                                                                                                                                  (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:

                                                                                                                                                    • 資料庫認證

                                                                                                                                                    • 憑證更新

                                                                                                                                                    • 授權原則的變更

                                                                                                                                                  • 如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

                                                                                                                                                  1

                                                                                                                                                  在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2

                                                                                                                                                  若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密碼提示中,輸入此雜湊:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下載適用於您環境的最新穩定映像:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  提取完成後,輸入適用於您環境的指令:

                                                                                                                                                  • 在沒有 Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  使用 Web 瀏覽器轉至 本地主機, http://127.0.0.1:8080 ,並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

                                                                                                                                                  此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。

                                                                                                                                                  7

                                                                                                                                                  提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。

                                                                                                                                                  8

                                                                                                                                                  在設定工具概觀頁上,按一下開始使用

                                                                                                                                                  9

                                                                                                                                                  ISO匯入頁面上,您有下列選項:

                                                                                                                                                  • — 如果您要建立第一個 HDS 節點,則您沒有要上傳的ISO檔案。
                                                                                                                                                  • - 如果您已建立 HDS 節點,則您在瀏覽中選取ISO檔案並上傳。
                                                                                                                                                  10

                                                                                                                                                  檢查您的 X.509 憑證是否符合X.509 憑證需求

                                                                                                                                                  • 如果您之前從未上傳過憑證,請上傳 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  • 如果您的憑證確定,請按一下繼續
                                                                                                                                                  • 如果您的憑證已過期或您要取代它,請選取繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎? 。 上傳新的 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  11

                                                                                                                                                  輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區:

                                                                                                                                                  1. 選取您的資料庫類型 PostgresMicrosoft SQL Server )。

                                                                                                                                                    如果您選擇Microsoft SQL Server ,您會獲得一個驗證類型欄位。

                                                                                                                                                  2. Microsoft SQL Server僅))選取您的驗證類型

                                                                                                                                                    • 基本驗證: 您需要一個本機SQL Server帳戶名稱,使用者名稱欄位。

                                                                                                                                                    • Windows 驗證: 您需要一個 Windows 帳戶,格式為 username@DOMAIN使用者名稱欄位。

                                                                                                                                                  3. 在以下表格中輸入資料庫伺服器位址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    範例:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果節點無法使用DNS來解析主機名稱,您可以使用IP 位址進行基本驗證。

                                                                                                                                                    如果使用的是 Windows 驗證,則必須輸入以下格式的完整網域名稱: dbhost.example.org:1433

                                                                                                                                                  4. 輸入資料庫名稱

                                                                                                                                                  5. 輸入使用者名稱密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

                                                                                                                                                  12

                                                                                                                                                  選取一個TLS資料庫連線模式

                                                                                                                                                  模式

                                                                                                                                                  說明

                                                                                                                                                  偏好使用 TLS (預設選項)

                                                                                                                                                  HDS 節點不需要使用 TLS 連線到資料庫伺服器。 若您在資料庫伺服器上啟用TLS ,節點會嘗試進行加密連線。

                                                                                                                                                  需要 TLS

                                                                                                                                                  僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者


                                                                                                                                                   

                                                                                                                                                  此模式不適用於SQL Server 資料庫。

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者和主機名稱

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  • 節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。 名稱必須完全相符,否則節點將斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。)

                                                                                                                                                  13

                                                                                                                                                  在系統記錄頁上,設定您的 Syslogd 伺服器:

                                                                                                                                                  1. 輸入 syslog 伺服器URL。

                                                                                                                                                    如果無法從 HDS 叢集的節點DNS伺服器,請在URL中使用IP 位址。

                                                                                                                                                    範例:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
                                                                                                                                                  2. 如果您將伺服器"安裝;設定"為使用TLS加密,請勾選您的 syslog 伺服器是否設定為使用SSL加密?

                                                                                                                                                    如果勾選此勾選方塊,請確保輸入一個TCP URL ,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 選擇 syslog 記錄終止下拉清單,請為您的ISO檔案選擇適當的設定: 選擇或換行用於 Graylog 和 Rsyslog TCP

                                                                                                                                                    • 空值位元組 -- \x00

                                                                                                                                                    • 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。

                                                                                                                                                  4. 按一下繼續

                                                                                                                                                  14

                                                                                                                                                  (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  按一下繼續位於重設服務帳戶密碼螢幕。

                                                                                                                                                  服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。

                                                                                                                                                  16

                                                                                                                                                  按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。

                                                                                                                                                  17

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。

                                                                                                                                                  確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  18

                                                                                                                                                  若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。


                                                                                                                                                   

                                                                                                                                                  我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  使用此流程可從 OVA 檔案建立虛擬機器。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

                                                                                                                                                  2

                                                                                                                                                  選取檔案>部署 OVF 範本

                                                                                                                                                  3

                                                                                                                                                  在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個

                                                                                                                                                  4

                                                                                                                                                  選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  選取計算資源頁面上,選擇目標計算資源,然後按一下下一個

                                                                                                                                                  執行驗證檢查。 完成後,會出現範本詳細資料。

                                                                                                                                                  6

                                                                                                                                                  驗證範本詳細資料,然後按一下下一個

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個

                                                                                                                                                  8

                                                                                                                                                  選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。

                                                                                                                                                  9

                                                                                                                                                  選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。

                                                                                                                                                  10

                                                                                                                                                  自訂範本頁面,設定下列網路設定:

                                                                                                                                                  • 主機名稱— 輸入節點的 FQDN(主機名稱和網域)或單字主機名稱。

                                                                                                                                                     
                                                                                                                                                    • 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                    • 若要確保成功註冊雲端,請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。 目前不支援大寫。

                                                                                                                                                    • FQDN 的總長度不得超過 64 個字元。

                                                                                                                                                  • IP位址— 輸入節點內部介面的IP 位址。

                                                                                                                                                     

                                                                                                                                                    您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  • 遮罩— 以點十進製表示法輸入子網路遮罩位址。 譬如, 255.255.255.0
                                                                                                                                                  • 閘道—輸入閘道IP 位址。 閘道是用作另一個網路的存取點的網路節點。
                                                                                                                                                  • DNS伺服器— 輸入以逗號分隔的DNS伺服器清單,該伺服器負責將網域名稱轉換為數字IP位址。 (最多允許 4 個DNS項目。)
                                                                                                                                                  • NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。 預設NTP伺服器可能不適用於所有企業。 您還可以使用逗號分隔的清單來輸入多個NTP伺服器。
                                                                                                                                                  • 將所有節點部署在相同的子網路或VLAN上,以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

                                                                                                                                                  如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  在節點VM上按一下滑鼠右鍵,然後選擇電源>開啟電源

                                                                                                                                                  混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。

                                                                                                                                                  疑難排解提示

                                                                                                                                                  在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。

                                                                                                                                                  1

                                                                                                                                                  在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。

                                                                                                                                                  VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
                                                                                                                                                  2

                                                                                                                                                  使用以下預設登入和密碼來登入和變更認證:

                                                                                                                                                  1. 登入: admin

                                                                                                                                                  2. 密碼: cisco

                                                                                                                                                  由於您是首次登入VM ,因此您必須變更管理員密碼。

                                                                                                                                                  3

                                                                                                                                                  如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。

                                                                                                                                                  4

                                                                                                                                                  使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  5

                                                                                                                                                  (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。

                                                                                                                                                  您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                  6

                                                                                                                                                  儲存網路組態設定並重新啟動VM以使變更生效。

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

                                                                                                                                                  準備工作

                                                                                                                                                  因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。

                                                                                                                                                  1

                                                                                                                                                  從您的電腦上傳ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,按一下 ESXi 伺服器。

                                                                                                                                                  2. 在組態標籤的硬體清單中,按一下儲存

                                                                                                                                                  3. 在資料儲存區清單中,按右鍵一下 VM 的資料儲存區,然後按一下瀏覽資料儲存區

                                                                                                                                                  4. 按一下上傳檔案圖示,然後按一下上傳檔案

                                                                                                                                                  5. 瀏覽到您在電腦上下載ISO檔案的位置,然後按一下開啟

                                                                                                                                                  6. 按一下接受上傳/下載操作警告,並關閉資料存放區對話。

                                                                                                                                                  2

                                                                                                                                                  裝載ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  2. 按一下確定接受受限編輯選項警告。

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 ,選取從資料儲存區ISO檔案裝載的選項,然後瀏覽到您上傳設定ISO檔案的位置。

                                                                                                                                                  4. 檢查已連線開啟電源時連接

                                                                                                                                                  5. 儲存變更並重新啟動虛擬機器。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

                                                                                                                                                  準備工作

                                                                                                                                                  1

                                                                                                                                                  輸入 HDS 節點設定URL https://[HDS Node IP or FQDN]/setup 在 Web 瀏覽器中,輸入您為節點"安裝;設定"的管理員認證,然後按一下 登入

                                                                                                                                                  2

                                                                                                                                                  轉至信任儲存庫和 Proxy,然後選擇一個選項:

                                                                                                                                                  • 無 Proxy — 整合 Proxy 之前的預設選項。 無需更新憑證。
                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
                                                                                                                                                  • 透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知用戶端(HDS 節點)使用哪個 Proxy 伺服器,並且此選項支援多種驗證類型。 選擇此選項後,您必須輸入以下資訊:
                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 選擇 http(檢視和控制從用戶端收到的所有請求)或 https(提供通往伺服器的通道,且用戶端接收並驗證伺服器的憑證)。 根據 Proxy 伺服器支援的內容來選擇一個選項。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅適用於 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                  針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

                                                                                                                                                  3

                                                                                                                                                  按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

                                                                                                                                                  憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

                                                                                                                                                  如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」

                                                                                                                                                  5

                                                                                                                                                  連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

                                                                                                                                                  節點會在幾分鐘內重新啟動。

                                                                                                                                                  7

                                                                                                                                                  節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

                                                                                                                                                  Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  此工作採用您在設定混合資料安全VM ,向Webex雲端註冊節點,並將其轉換為「混合資料安全性」節點。

                                                                                                                                                  註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  從螢幕左側的功能表中,選取服務

                                                                                                                                                  3

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  出現「註冊混合資料安全節點」頁。
                                                                                                                                                  4

                                                                                                                                                  選取以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。

                                                                                                                                                  我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」

                                                                                                                                                  6

                                                                                                                                                  在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                  此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM

                                                                                                                                                  將出現一則訊息,指出您可以向Webex註冊您的節點。
                                                                                                                                                  7

                                                                                                                                                  按一下移至節點。

                                                                                                                                                  8

                                                                                                                                                  按一下警告訊息中的繼續。

                                                                                                                                                  稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
                                                                                                                                                  9

                                                                                                                                                  檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                  您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  10

                                                                                                                                                  按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  若要向叢集新增其他節點,您只需建立其他 VM 並裝載相同的ISO設定檔案,然後註冊節點。 我們建議您至少有 3 個節點。

                                                                                                                                                   

                                                                                                                                                  目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA

                                                                                                                                                  2

                                                                                                                                                  在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO

                                                                                                                                                  4

                                                                                                                                                  如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。

                                                                                                                                                  5

                                                                                                                                                  註冊節點。

                                                                                                                                                  1. 輸入https://admin.webex.com,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2. 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下資源

                                                                                                                                                    出現「混合資料安全性資源」頁。
                                                                                                                                                  3. 按一下新增資源

                                                                                                                                                  4. 在第一個欄位中,選取現有叢集的名稱。

                                                                                                                                                  5. 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                    系統將顯示一則訊息,指出您可以將節點註冊到Webex雲端。
                                                                                                                                                  6. 按一下移至節點。

                                                                                                                                                    稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向組織授予權限,以存取您的節點。
                                                                                                                                                  7. 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                    您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  8. 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下一步

                                                                                                                                                  執行試用並移至生產(下一章)
                                                                                                                                                  執行試用並移至生產

                                                                                                                                                  試用到生產任務流程

                                                                                                                                                  "安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。

                                                                                                                                                  1

                                                                                                                                                  如果適用,請同步 HdsTrialGroup 群組物件。

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能開始試用。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  2

                                                                                                                                                  啟動試用服務

                                                                                                                                                  開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。

                                                                                                                                                  3

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  4

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  檢查狀態,並"安裝;設定"的電子郵件通知。

                                                                                                                                                  5

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  6

                                                                                                                                                  使用下列動作之一完成試用階段:

                                                                                                                                                  啟動試用服務

                                                                                                                                                  準備工作

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下開始試用

                                                                                                                                                  服務狀態變更為試用模式。
                                                                                                                                                  4

                                                                                                                                                  按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。

                                                                                                                                                  (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, HdsTrialGroup.)

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  使用此流程來測試「混合資料安全性」加密情境。

                                                                                                                                                  準備工作

                                                                                                                                                  • 設定您的「混合資料安全性」部署。

                                                                                                                                                  • 啟用試用服務,並新增多個試用服務使用者。

                                                                                                                                                  • 請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

                                                                                                                                                  1

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。


                                                                                                                                                   

                                                                                                                                                  如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。

                                                                                                                                                  2

                                                                                                                                                  傳送訊息至新空間。

                                                                                                                                                  3

                                                                                                                                                  檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  1. 若要檢查是否有使用者首先建立通往 KMS 的安全通道,請篩選 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION

                                                                                                                                                    您應該會找到如下所示的項目(為便於閱讀而縮短了標識符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 若要檢查是否有使用者從 KMS 請求現有金鑰,請篩選 kms.data.method=retrievekms.data.type=KEY

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 若要檢查是否有使用者請求建立新的 KMS 金鑰,請篩選 kms.data.method=createkms.data.type=KEY_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO),請篩選 kms.data.method=createkms.data.type=RESOURCE_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。 如需更主動的警示,請註冊電子郵件通知。 當發生影響服務的警報或軟體升級時,您將會收到通知。
                                                                                                                                                  1

                                                                                                                                                  輸入Control Hub ,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  隨即顯示混合資料安全性設定頁面。
                                                                                                                                                  3

                                                                                                                                                  在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  在您啟動試用服務並新增初始試用使用者集後,您可以在試用服務有效期間隨時新增或移除試用成員。

                                                                                                                                                  如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。

                                                                                                                                                  如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。

                                                                                                                                                  4

                                                                                                                                                  輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存

                                                                                                                                                  從試用服務移至生產環境

                                                                                                                                                  當您對您的部署適用於試用使用者感到滿意時,可以移至生產。 當您移至生產時,組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。 除非您在災害復原過程中停用該服務,否則您無法從生產環境移回試用模式。 重新啟動服務需要"安裝;設定"新的試用服務。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下移至生產環境

                                                                                                                                                  4

                                                                                                                                                  確認您要將所有使用者移至生產環境。

                                                                                                                                                  在不移至生產的情況下結束試用服務

                                                                                                                                                  如果在試用期間,您決定不繼續部署「混合資料安全性」,您可以停用「混合資料安全性」,這將結束試用服務,並將試用使用者移回雲端資料安全性服務。 試用使用者將失去對試用期間加密的資料的存取權。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在停用區段中,按一下停用

                                                                                                                                                  4

                                                                                                                                                  確認您要停用服務並結束試用服務。

                                                                                                                                                  管理您的 HDS 部署

                                                                                                                                                  管理 HDS 部署

                                                                                                                                                  使用這裡描述的任務來管理您的「混合資料安全性」部署。

                                                                                                                                                  設定叢集升級排程

                                                                                                                                                  混合資料安全性的軟體升級可在叢集層級自動完成,從而確保所有節點始終執行相同的軟體版本。 根據叢集的升級排程來完成升級。 當軟體升級變成可用時,您可以選擇在排定的升級時間之前手動升級叢集。 可以設定特定的升級排程,或者使用預設排程(美國每天凌晨 3:00): 美洲/洛杉磯。 必要時,也可以選擇延遲即將進行的升級。

                                                                                                                                                  若要設定升級排程:

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在概觀頁面上的混合服務下,選取混合資料安全性

                                                                                                                                                  3

                                                                                                                                                  在「混合資料安全性資源」頁上,選取叢集。

                                                                                                                                                  4

                                                                                                                                                  在右側的概觀面板中,在叢集設定下,選取叢集名稱。

                                                                                                                                                  5

                                                                                                                                                  在「設定」頁面上的「升級」下,選取升級排程的時間和時區。

                                                                                                                                                  附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。

                                                                                                                                                  變更節點組態

                                                                                                                                                  偶爾出於如下原因,您可能需要變更混合資料安全節點的設定:
                                                                                                                                                  • 由於到期或其他原因而變更 x.509 憑證。


                                                                                                                                                     

                                                                                                                                                    我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。

                                                                                                                                                  • 更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。


                                                                                                                                                     

                                                                                                                                                    我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。

                                                                                                                                                  • 建立新的設定以準備新的資料中心。

                                                                                                                                                  同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:

                                                                                                                                                  • 軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。

                                                                                                                                                  • 硬重設 — 舊密碼會立即停止作用。

                                                                                                                                                  如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。

                                                                                                                                                  使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。

                                                                                                                                                  1

                                                                                                                                                  在本端機器上使用 Docker 來執行「HDS 設定」工具。

                                                                                                                                                  1. 在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2. 若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密碼提示中,輸入此雜湊:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下載適用於您環境的最新穩定映像:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

                                                                                                                                                  5. 提取完成後,輸入適用於您環境的指令:

                                                                                                                                                    • 在沒有 Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6. 使用瀏覽器來連線 localhost,。 http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  7. 提示時,輸入 Control Hub 客戶登入認證,然後按一下接受以繼續作業。

                                                                                                                                                  8. 匯入現行設定 ISO 檔案。

                                                                                                                                                  9. 遵循提示來完成工具並下載更新檔。

                                                                                                                                                    若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  10. 在其他資料中心中建立已更新檔案的備份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點

                                                                                                                                                  1. 安裝 HDS 主機 OVA。

                                                                                                                                                  2. 設定 HDS 虛擬機器。

                                                                                                                                                  3. 安裝已更新的設定檔案。

                                                                                                                                                  4. 在 Control Hub 中註冊新的節點。

                                                                                                                                                  3

                                                                                                                                                  針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點:

                                                                                                                                                  1. 關閉虛擬機器。

                                                                                                                                                  2. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 按一下 CD/DVD 光碟機 1,選取從 ISO 檔案安裝的選項,並瀏覽至您下載新設定 ISO 檔案的位置。

                                                                                                                                                  4. 勾選開啟電源時連線

                                                                                                                                                  5. 儲存變更並開啟虛擬機器的電源。

                                                                                                                                                  4

                                                                                                                                                  重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

                                                                                                                                                  關閉封鎖的外部 DNS 解析模式

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。

                                                                                                                                                  如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

                                                                                                                                                  準備工作

                                                                                                                                                  確保您的內部 DNS 伺服器可以解析公用 DNS 名稱,而且您的節點可以與它們通訊。
                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至概觀(預設頁面)。

                                                                                                                                                  啟用時,封鎖的外部 DNS 解析設定為

                                                                                                                                                  3

                                                                                                                                                  轉至信任儲存庫和 Proxy 頁面。

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。

                                                                                                                                                  下一步

                                                                                                                                                  在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

                                                                                                                                                  移除節點

                                                                                                                                                  使用此流程從Webex雲端移除「混合資料安全性」節點。 從叢集中移除節點後,請刪除虛擬機器以防止進一步存取您的安全性資料。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。

                                                                                                                                                  2

                                                                                                                                                  移除節點:

                                                                                                                                                  1. 登入 Control Hub,然後選取服務

                                                                                                                                                  2. 在混合資料安全性卡片上,按一下檢視全部以顯示「混合資料安全性資源」頁。

                                                                                                                                                  3. 選取您的叢集以顯示其概觀面板。

                                                                                                                                                  4. 按一下開啟節點清單

                                                                                                                                                  5. 在節點標籤上,選取要移除的節點。

                                                                                                                                                  6. 按一下動作>取消註冊節點

                                                                                                                                                  3

                                                                                                                                                  在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。)

                                                                                                                                                  如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。

                                                                                                                                                  使用待機資料中心進行災害復原

                                                                                                                                                  混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。

                                                                                                                                                  因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:

                                                                                                                                                  若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。 進行此設定後,節點即可處理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。 「KMS 已設定為被動模式」不應出現在系統記錄中。

                                                                                                                                                  下一步

                                                                                                                                                  在容錯移轉後,如果主資料中心再次變為活躍狀態,請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原

                                                                                                                                                  (可選)在 HDS 配置後解除掛載ISO

                                                                                                                                                  標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

                                                                                                                                                  您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。

                                                                                                                                                  準備工作

                                                                                                                                                  將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

                                                                                                                                                  1

                                                                                                                                                  關閉其中一個 HDS 節點。

                                                                                                                                                  2

                                                                                                                                                  在 vCenter Server Appliance 中,選取 HDS 節點。

                                                                                                                                                  3

                                                                                                                                                  選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案

                                                                                                                                                  4

                                                                                                                                                  開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。

                                                                                                                                                  5

                                                                                                                                                  依次為每個 HDS 節點重複此操作。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  檢視警示和疑難排解

                                                                                                                                                  如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:

                                                                                                                                                  • 無法建立新空間(無法建立新鍵)

                                                                                                                                                  • 訊息和空間標題無法解密:

                                                                                                                                                    • 新使用者新增至空間(無法擷取金鑰)

                                                                                                                                                    • 使用新用戶端的空間中的現有使用者(無法擷取金鑰)

                                                                                                                                                  • 空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取

                                                                                                                                                  請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

                                                                                                                                                  警示

                                                                                                                                                  如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。

                                                                                                                                                  表 1. 常見問題及解決問題的步驟

                                                                                                                                                  警示

                                                                                                                                                  動作

                                                                                                                                                  本端資料庫存取失敗。

                                                                                                                                                  檢查是否存在資料庫錯誤或本地網路問題。

                                                                                                                                                  本機資料庫連線失敗。

                                                                                                                                                  檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。

                                                                                                                                                  存取雲端服務失敗。

                                                                                                                                                  檢查節點是否可以存取中指定的Webex伺服器外部連線需求

                                                                                                                                                  正在更新雲端服務註冊。

                                                                                                                                                  已刪除對雲端服務的註冊。 進行中重新註冊註冊。

                                                                                                                                                  雲端服務註冊已刪除。

                                                                                                                                                  向雲端服務的註冊已終止。 服務正在關閉。

                                                                                                                                                  服務尚未啟動。

                                                                                                                                                  啟用試用服務,或完成將試用服務移至生產環境。

                                                                                                                                                  設定的網域與伺服器憑證不相符。

                                                                                                                                                  請確保您的伺服器憑證符合設定的服務啟動網域。

                                                                                                                                                  最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。

                                                                                                                                                  無法針對雲端服務進行驗證。

                                                                                                                                                  檢查服務帳戶認證的準確性及是否可能過期。

                                                                                                                                                  無法開啟本機金鑰儲存區檔案。

                                                                                                                                                  檢查本機金鑰存放區檔案的完整性和密碼準確度。

                                                                                                                                                  本機伺服器憑證無效。

                                                                                                                                                  檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。

                                                                                                                                                  無法公佈指標。

                                                                                                                                                  檢查對外部雲端服務的本地網路存取。

                                                                                                                                                  /media/configDrive/hds 目錄不存在。

                                                                                                                                                  檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  當對混合資料安全性問題進行疑難排解時,請使用以下一般準則。
                                                                                                                                                  1

                                                                                                                                                  複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。

                                                                                                                                                  2

                                                                                                                                                  複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。

                                                                                                                                                  3

                                                                                                                                                  聯絡Cisco 支援

                                                                                                                                                  其他附註

                                                                                                                                                  混合資料安全性的已知問題

                                                                                                                                                  • 如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。

                                                                                                                                                  • 與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。

                                                                                                                                                    當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。

                                                                                                                                                  使用 OpenSSL 產生 PKCS12 檔案

                                                                                                                                                  準備工作

                                                                                                                                                  • OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。

                                                                                                                                                  • 如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。

                                                                                                                                                  • 在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。

                                                                                                                                                  • 建立私密金鑰。

                                                                                                                                                  • 當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。

                                                                                                                                                  1

                                                                                                                                                  當您從 CA 收到伺服器憑證時,將其另存為 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  將憑證顯示為文字,並驗證詳細資料。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文字編輯器建立一個名為 hdsnode-bundle.pem 。 組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證,格式如下:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用易記名稱建立 .p12 檔案 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  檢查伺服器憑證詳細資料。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示時輸入密碼以加密私密金鑰,使其在輸出中列出。 然後,驗證私密金鑰和第一個憑證是否包含以下行 friendlyName: kms-private-key

                                                                                                                                                    範例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。

                                                                                                                                                  HDS 節點與雲端之間的流量

                                                                                                                                                  輸出指標收集流量

                                                                                                                                                  混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。

                                                                                                                                                  入埠流量

                                                                                                                                                  混合資料安全性節點從Webex雲端接收以下類型的入埠流量:

                                                                                                                                                  • 來自用戶端的加密請求,由加密服務路由

                                                                                                                                                  • 升級至節點軟體

                                                                                                                                                  設定 Squid Proxy 以實現混合資料安全

                                                                                                                                                  Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss: 流量,從而確保服務正確運作。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  新增 on_unsupported_protocol 指示為 squid.conf

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf 。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  前言

                                                                                                                                                  新的和變更的資訊

                                                                                                                                                  日期

                                                                                                                                                  進行的變更

                                                                                                                                                  2023 年 10 月 20 日

                                                                                                                                                  2023 年 8 月 7 日

                                                                                                                                                  2023 年 5 月 23 日

                                                                                                                                                  2022 年 12 月 6 日

                                                                                                                                                  2022 年 11 月 23 日

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。請參閱Docker 桌面需求

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案 獲取詳細資訊。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求 以取得詳細資料。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO 獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。

                                                                                                                                                  2021 年 1 月 11 日

                                                                                                                                                  新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  已更新下載安裝檔案

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態 用於 FedRAMP 環境的指令。

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態 登入程序變更。

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  已更新測驗您的混合資料安全性部署 了解記錄訊息中的變更。

                                                                                                                                                  已更新虛擬主機需求 以移除數目上限的主機。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  已更新移除節點 了解 Control Hub UI 中的變更。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO 了解您可能設定的「進階設定」中的變更。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO 來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  已更新虛擬主機需求 以顯示 ESXi 6.5 的新需求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  已更新外部連線需求 與新的美洲 CI 主機搭配。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  已更新外部連線需求 包含有關區域 CI 主機的資訊。

                                                                                                                                                  2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO 包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。
                                                                                                                                                  2020年2月4日已更新Proxy 伺服器需求
                                                                                                                                                  2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下章節中新增了有關已封鎖外部DNS解析模式的資訊:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。

                                                                                                                                                  已相應地更新了下列章節:


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  新增SQL Server Standard 至資料庫伺服器需求

                                                                                                                                                  2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性 附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

                                                                                                                                                  若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援 說明文章。

                                                                                                                                                  2019 年 6 月 13 日已更新試用到生產任務流程 提醒您同步Hds試用群組 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。
                                                                                                                                                  2019 年 3 月 6 日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB,以反映 OVA 建立的磁碟大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線,以及與具有TLS功能的 syslog 伺服器的加密記錄連線。已更新為 HDS 主機建立設定ISO 並附有指示。

                                                                                                                                                  • 從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。表格現在引用了在下列情況下維護的Webex: Webex Teams 服務的網路要求

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合資料安全性現在支援將Microsoft SQL Server 作為資料庫。混合資料安全性中使用的 JDBC 驅動程式支援SQL Server永遠開啟(永遠開啟故障轉移叢集和始終開啟可用性群組)。新增了與使用SQL Server 進行部署相關的內容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

                                                                                                                                                  2018 年 11 月 5 日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  變更了術語以反映Cisco Spark的品牌更名:

                                                                                                                                                  • Cisco Spark混合資料安全性現已更名為混合資料安全性。

                                                                                                                                                  • Cisco Spark應用程式現在更名為Webex App 應用程式。

                                                                                                                                                  • Cisco Collaboration Cloud 現已更名為Webex Cloud。

                                                                                                                                                  2018 年 4 月 11 日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509 憑證需求 表,指定憑證不能是萬用憑證,且 KMS 使用 CN 網域,而不是 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017 年 11 月 2 日

                                                                                                                                                  • 釐清了 Hds TrialGroup 的目錄同步。

                                                                                                                                                  • 修正了上傳ISO組態檔以掛載到VM節點的指示。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次公佈

                                                                                                                                                  混合資料安全性入門

                                                                                                                                                  混合資料安全性概觀

                                                                                                                                                  從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

                                                                                                                                                  預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。

                                                                                                                                                  安全性領域架構

                                                                                                                                                  Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

                                                                                                                                                  分離領域(無混合資料安全性)

                                                                                                                                                  為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。

                                                                                                                                                  在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:

                                                                                                                                                  1. 用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。

                                                                                                                                                  2. 訊息在離開用戶端之前會被加密。用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助將來的內容搜尋。

                                                                                                                                                  3. 加密的訊息傳送至合規服務進行合規檢查。

                                                                                                                                                  4. 加密的訊息儲存在儲存領域中。

                                                                                                                                                  部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。

                                                                                                                                                  與其他組織協作

                                                                                                                                                  您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

                                                                                                                                                  在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。請參閱準備環境 有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。

                                                                                                                                                  對部署混合資料安全性的預期

                                                                                                                                                  混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。

                                                                                                                                                  若要部署混合資料安全性,您必須提供:

                                                                                                                                                  完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。如果發生這種情況,您可以建立新的部署,但只會看到新內容。為了避免丟失對資料的存取權,您必須:

                                                                                                                                                  • 管理資料庫及設定ISO的備份與復原。

                                                                                                                                                  • 準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。


                                                                                                                                                   

                                                                                                                                                  沒有任何機制可在部署 HDS 後將金鑰移回雲端。

                                                                                                                                                  高階設定過程

                                                                                                                                                  此文件涵蓋「混合資料安全性」部署的設定和管理:

                                                                                                                                                  • 設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。

                                                                                                                                                    接下來的三章將詳細涵蓋設定、試用和生產階段。

                                                                                                                                                  • 維護您的混合資料安全性部署— Webex雲端自動提供持續升級。您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。

                                                                                                                                                  • 了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

                                                                                                                                                  在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。(您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  叢集中可以具有的節點數下限為兩個。我們建議至少三個,您最多可以有五個。具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。( Webex雲端一次僅升級一個節點。)

                                                                                                                                                  叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。

                                                                                                                                                  當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。

                                                                                                                                                  每個組織僅支援一個叢集。

                                                                                                                                                  混合資料安全性試用模式

                                                                                                                                                  在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。您的其他使用者將繼續使用雲端安全性領域。

                                                                                                                                                  如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。他們將在Webex應用程式中看到「無法解密此訊息」。

                                                                                                                                                  如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。試用使用者將繼續有權存取在試用期間使用的金鑰。但是,您無法在生產模式和原始試用版之間來回切換。如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。

                                                                                                                                                  用於災害復原的備用資料中心

                                                                                                                                                  在部署期間,您"安裝;設定"安全待命資料中心。如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

                                                                                                                                                  在故障轉移之前,資料中心 A 具有作用中的 HDS 節點以及主 PostgreSQL 或Microsoft SQL Server 資料庫,而 B 具有ISO檔案的副本,其中包含其他設定、已向組織註冊的 VM 以及備用資料庫。故障轉移後,資料中心 B 具有作用中的 HDS 節點和主資料庫,而 A 具有未註冊的 VM 和ISO檔案的副本,且資料庫處於待機模式。
                                                                                                                                                  手動故障轉換至備用資料中心

                                                                                                                                                  作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。


                                                                                                                                                   

                                                                                                                                                  作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

                                                                                                                                                  設定備用資料中心以進行災害復原

                                                                                                                                                  請遵循下列步驟來設定備用資料中心的ISO檔案:

                                                                                                                                                  在開始之前

                                                                                                                                                  • 備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。(請參閱用於災害復原的備用資料中心 如需此容錯移轉模型的概觀。)

                                                                                                                                                  • 請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定 頁面,請在下面新增設定以將節點設定為被動模式。在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。

                                                                                                                                                   被動模式:「真」 

                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接 會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 以驗證節點是否處於被動模式。您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

                                                                                                                                                  下一步

                                                                                                                                                  設定後被動模式 在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需被動模式 設定,並將其儲存在安全位置。此ISO檔案副本不含被動模式 已設定可協助災害復原期間的快速容錯移轉過程。請參閱使用待機資料中心進行災害復原 如需詳細的容錯移轉程序,

                                                                                                                                                  Proxy 支援

                                                                                                                                                  混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

                                                                                                                                                  混合資料安全節點支援以下 Proxy 選項:

                                                                                                                                                  • 無 Proxy — 如果您不使用 HDS 節點設定信任儲存和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。

                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址,因此不需要任何變更即可與非檢查 Proxy 搭配使用。無需更新憑證。

                                                                                                                                                  • 透通的通道或檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

                                                                                                                                                  • 明確的 Proxy - 透過明確的 Proxy,您可以告知 HDS 節點使用哪個代理伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

                                                                                                                                                    1. Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。

                                                                                                                                                    2. Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。

                                                                                                                                                    3. Proxy 通訊協定— 根據您的代理伺服器支援的內容,在下列協議之間選擇:

                                                                                                                                                      • HTTP — 檢視並控制用戶端傳送的所有請求。

                                                                                                                                                      • HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。

                                                                                                                                                    4. 驗證類型- 從以下驗證類型中選擇:

                                                                                                                                                      • — 不需要進一步的驗證。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                      • 基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                  混合資料安全節點和 Proxy 的範例

                                                                                                                                                  此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

                                                                                                                                                  已封鎖外部 DNS 解析模式(明確 Proxy 設定)

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

                                                                                                                                                  準備您的環境

                                                                                                                                                  混合資料安全性的需求

                                                                                                                                                  Cisco Webex授權需求

                                                                                                                                                  若要部署混合資料安全性:

                                                                                                                                                  Docker 桌面需求

                                                                                                                                                  安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模式。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。

                                                                                                                                                  X.509 憑證需求

                                                                                                                                                  憑證鏈結必須符合下列需求:

                                                                                                                                                  表 1. 混合資料安全性部署的 X.509 憑證需求

                                                                                                                                                  需求

                                                                                                                                                  詳細資訊

                                                                                                                                                  • 由受信任的憑證授權單位(CA) 簽署

                                                                                                                                                  依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱

                                                                                                                                                  • 不是萬用憑證

                                                                                                                                                  不需要可連線至 CN 或無需實時主持人。我們建議您使用能反映您的組織的名稱,例如, hds.company.com

                                                                                                                                                  CN 不能包含 *(萬用字元)。

                                                                                                                                                  CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。選擇可同時套用於試用和生產部署的網域。

                                                                                                                                                  • 非 SHA1 簽章

                                                                                                                                                  KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。

                                                                                                                                                  • 已格式化為受密碼保護的 PKCS #12 檔案

                                                                                                                                                  • 使用的易記名稱: kms 私密金鑰 標記憑證、私密金鑰以及要上傳的任何中間憑證。

                                                                                                                                                  您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。

                                                                                                                                                  當您執行 HDS 設定工具時,您將需要輸入密碼。

                                                                                                                                                  KMS 軟體不強制使用金鑰或擴充金鑰使用限制。部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。可以使用伺服器驗證或其它設定。

                                                                                                                                                  虛擬主機需求

                                                                                                                                                  您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:

                                                                                                                                                  • 至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心

                                                                                                                                                  • VMware ESXi 6.5(或更高版本)已安裝且正在執行。


                                                                                                                                                     

                                                                                                                                                    如果您具有較舊的 ESXi 版本,則必須升級。

                                                                                                                                                  • 每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

                                                                                                                                                  資料庫伺服器需求


                                                                                                                                                   

                                                                                                                                                  建立金鑰儲存的新資料庫。請不要使用預設資料庫。HDS 應用程式在安裝時用於建立資料庫綱要。

                                                                                                                                                  資料庫伺服器有兩個選項。每個項目的需求如下:

                                                                                                                                                  表 2. 依資料庫類型排列資料庫伺服器需求

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • 已安裝且正在執行 PostgreSQL 14、15 或 16。

                                                                                                                                                  • 已安裝SQL Server 2016、2017 或 2019(企業版或標準版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  HDS 軟體目前安裝下列驅動程式版本,以與資料庫伺服器通訊:

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC 驅動程式 42.2.5

                                                                                                                                                  SQL Server JDBC 驅動程式 4.6

                                                                                                                                                  此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例AlwaysOn 可用性群組)。

                                                                                                                                                  針對Microsoft SQL Server 的 Windows 驗證的其他需求

                                                                                                                                                  如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:

                                                                                                                                                  • HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。

                                                                                                                                                  • 您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。

                                                                                                                                                  • 您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。

                                                                                                                                                  • 您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱

                                                                                                                                                    HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。

                                                                                                                                                  外部連線需求

                                                                                                                                                  設定您的防火牆,以允許 HDS 應用程式進行以下連線:

                                                                                                                                                  應用程式

                                                                                                                                                  通訊協定

                                                                                                                                                  連接埠

                                                                                                                                                  來自應用程式的方向

                                                                                                                                                  目標

                                                                                                                                                  混合資料安全節點

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS 和 WSS

                                                                                                                                                  • Webex伺服器:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • 中針對混合資料安全性列出的其他 URL: Webex Hybrid Services 的其他 URL 的表格Webex服務的網路要求

                                                                                                                                                  HDS 設定工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。

                                                                                                                                                  通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機:

                                                                                                                                                  Region

                                                                                                                                                  通用身份識別主持人 URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  歐盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy 伺服器要求

                                                                                                                                                  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

                                                                                                                                                    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

                                                                                                                                                    • 明確 Proxy — Squid。


                                                                                                                                                       

                                                                                                                                                      檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性

                                                                                                                                                  • 我們支援明確 Proxy 的以下驗證類型組合:

                                                                                                                                                    • 不使用 HTTP 或 HTTPS 進行驗證

                                                                                                                                                    • 使用 HTTP 或 HTTPS 進行基本驗證

                                                                                                                                                    • 僅使用 HTTPS 進行摘要式驗證

                                                                                                                                                  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

                                                                                                                                                  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

                                                                                                                                                  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向 wbx2.comciscospark.com 的流量可以解決問題。

                                                                                                                                                  完成混合資料安全性的先決條件

                                                                                                                                                  使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。
                                                                                                                                                  1

                                                                                                                                                  確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。

                                                                                                                                                  2

                                                                                                                                                  為您的 HDS 部署選擇網域名稱(例如, hds.company.com ) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。憑證鏈結必須符合X.509 憑證需求

                                                                                                                                                  3

                                                                                                                                                  準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求

                                                                                                                                                  4

                                                                                                                                                  根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。

                                                                                                                                                  1. 建立金鑰儲存用的資料庫。(您必須建立此資料庫 — 不要使用預設資料庫。HDS 應用程式在安裝後建立資料庫綱要。)

                                                                                                                                                  2. 收集節點將用來與資料庫伺服器通訊的詳細資料:

                                                                                                                                                    • 主持人名稱或IP 位址(host) 和通訊埠

                                                                                                                                                    • 用於金鑰儲存的資料庫名稱 (dbname)

                                                                                                                                                    • 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

                                                                                                                                                  5

                                                                                                                                                  為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。

                                                                                                                                                  6

                                                                                                                                                  設定 syslog 主機以從叢集中的節點收集記錄。收集其網路地址和 syslog 埠(預設值為UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。


                                                                                                                                                   

                                                                                                                                                  因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失 該內容的。

                                                                                                                                                  Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。雖然無法防止暫時中斷,但它們是可以恢復的。然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。

                                                                                                                                                  8

                                                                                                                                                  請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求

                                                                                                                                                  9

                                                                                                                                                  安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統:http://127.0.0.1:8080.

                                                                                                                                                  您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。您的組織可能需要 Docker 桌面授權。請參閱Docker 桌面需求 獲取更多資訊。

                                                                                                                                                  若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求

                                                                                                                                                  10

                                                                                                                                                  如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求

                                                                                                                                                  11

                                                                                                                                                  如果您的組織使用目錄同步,請在Active Directory中建立一個名為Hds試用群組,並新增試用使用者。試用群組最多可以有 250 個使用者。的Hds試用群組 必須將物件同步到雲端,然後才能為組織開始試用服務。若要同步群組物件,請在 Directory Connector 的設定 >物件選取 功能表。(如需詳細指示,請參閱Cisco目錄連接器的部署指南。 )


                                                                                                                                                   

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。當使用者的應用程式重新整理其快取的內容副本時,該遺失立即變得明顯。

                                                                                                                                                  設定混合資料安全叢集

                                                                                                                                                  混合資料安全性部署任務流程

                                                                                                                                                  在開始之前

                                                                                                                                                  準備您的環境

                                                                                                                                                  1

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  將 OVA 檔案下載到您的本地機器以供稍後使用。

                                                                                                                                                  2

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

                                                                                                                                                  3

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點,請網路設定。

                                                                                                                                                  5

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

                                                                                                                                                  6

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。

                                                                                                                                                  7

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

                                                                                                                                                  8

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  完成叢集設定。

                                                                                                                                                  9

                                                                                                                                                  執行試用並移至生產 (下一章)

                                                                                                                                                  在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。您稍後將在安裝過程中使用此檔案。
                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後按一下服務

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定

                                                                                                                                                  如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。


                                                                                                                                                   

                                                                                                                                                  您也可以隨時從說明 區段上的設定 頁面。在混合資料安全性卡片上,按一下編輯設定 以開啟頁面。然後,按一下下載「混合資料安全性」軟體說明 區段。


                                                                                                                                                   

                                                                                                                                                  較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。

                                                                                                                                                  3

                                                                                                                                                  選取 以指示您尚未"安裝;設定"該節點,然後按一下下一個

                                                                                                                                                  OVA 檔案自動開始下載。將檔案儲存到您機器上的某個位置。
                                                                                                                                                  4

                                                                                                                                                  (可選)按一下開啟部署指南 以檢查是否有本指南可用的較新版本。

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  「混合資料安全性」設定過程會建立ISO檔案。然後,您可以使用ISO來設定您的「混合資料安全性」主機。

                                                                                                                                                  在開始之前

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠

                                                                                                                                                  • 您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時,都需要此檔案的最新副本:

                                                                                                                                                    • 資料庫認證

                                                                                                                                                    • 憑證更新

                                                                                                                                                    • 授權原則的變更

                                                                                                                                                  • 如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

                                                                                                                                                  1

                                                                                                                                                  在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  Docker rmi ciscocitg/hds 設定:穩定版

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2

                                                                                                                                                  若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                  Docker 登入 -u HDs客戶羅
                                                                                                                                                  3

                                                                                                                                                  在密碼提示中,輸入此雜湊:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6RokvKUIo
                                                                                                                                                  4

                                                                                                                                                  下載適用於您環境的最新穩定映像:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  提取完成後,輸入適用於您環境的指令:

                                                                                                                                                  • 在沒有 Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e 全球_代理_HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTPS 代理的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e 全球_代理_HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e 全球_代理_HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e 全球_代理_HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 本地主機。

                                                                                                                                                  使用 Web 瀏覽器轉至 本地主機,http://127.0.0.1:8080 ,並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

                                                                                                                                                  此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後,此工具會顯示標準登入提示。

                                                                                                                                                  7

                                                                                                                                                  提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。

                                                                                                                                                  8

                                                                                                                                                  在設定工具概觀頁上,按一下開始使用

                                                                                                                                                  9

                                                                                                                                                  ISO匯入 頁面上,您有下列選項:

                                                                                                                                                  • — 如果您要建立第一個 HDS 節點,則您沒有要上傳的ISO檔案。
                                                                                                                                                  • - 如果您已建立 HDS 節點,則您在瀏覽中選取ISO檔案並上傳。
                                                                                                                                                  10

                                                                                                                                                  檢查您的 X.509 憑證是否符合X.509 憑證需求

                                                                                                                                                  • 如果您之前從未上傳過憑證,請上傳 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  • 如果您的憑證確定,請按一下繼續
                                                                                                                                                  • 如果您的憑證已過期或您要取代它,請選取繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎? 。上傳新的 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  11

                                                                                                                                                  輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區:

                                                                                                                                                  1. 選取您的資料庫類型 PostgresMicrosoft SQL Server )。

                                                                                                                                                    如果您選擇Microsoft SQL Server ,您會獲得一個驗證類型欄位。

                                                                                                                                                  2. Microsoft SQL Server 僅))選取您的驗證類型

                                                                                                                                                    • 基本驗證:您需要一個本機SQL Server帳戶名稱,使用者名稱 欄位。

                                                                                                                                                    • Windows 驗證:您需要一個 Windows 帳戶,格式為使用者名稱@域使用者名稱 欄位。

                                                                                                                                                  3. 在以下表格中輸入資料庫伺服器位址

                                                                                                                                                    範例:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果節點無法使用DNS來解析主機名稱,您可以使用IP 位址進行基本驗證。

                                                                                                                                                    如果使用的是 Windows 驗證,則必須輸入以下格式的完整網域名稱: dbhost.example.org:1433

                                                                                                                                                  4. 輸入資料庫名稱

                                                                                                                                                  5. 輸入使用者名稱密碼 對金鑰儲存資料庫具有所有特權的使用者的權限。

                                                                                                                                                  12

                                                                                                                                                  選取一個TLS資料庫連線模式

                                                                                                                                                  模式

                                                                                                                                                  說明

                                                                                                                                                  偏好TLS (預設選項)

                                                                                                                                                  HDS 節點不需要使用 TLS 連線到資料庫伺服器。若您在資料庫伺服器上啟用TLS ,節點會嘗試進行加密連線。

                                                                                                                                                  需要 TLS

                                                                                                                                                  僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者


                                                                                                                                                   

                                                                                                                                                  此模式不適用於SQL Server 資料庫。

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符,則節點會斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者和主機名稱

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符,則節點會斷開連線。

                                                                                                                                                  • 節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠 欄位。名稱必須完全相符,否則節點將斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。)

                                                                                                                                                  13

                                                                                                                                                  在系統記錄頁上,設定您的 Syslogd 伺服器:

                                                                                                                                                  1. 輸入 syslog 伺服器URL。

                                                                                                                                                    如果無法從 HDS 叢集的節點DNS伺服器,請在URL中使用IP 位址。

                                                                                                                                                    範例:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
                                                                                                                                                  2. 如果您將伺服器"安裝;設定"為使用TLS加密,請勾選您的 syslog 伺服器是否設定為使用SSL加密?

                                                                                                                                                    如果勾選此勾選方塊,請確保輸入一個TCP URL ,例如tcp://10.92.43.23:514

                                                                                                                                                  3. 選擇 syslog 記錄終止 下拉清單,請為您的ISO檔案選擇適當的設定:選擇或換行用於 Graylog 和 Rsyslog TCP

                                                                                                                                                    • 空值位元組 -- \x00

                                                                                                                                                    • 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。

                                                                                                                                                  4. 按一下繼續

                                                                                                                                                  14

                                                                                                                                                  (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。一般而言,您可能只需要變更此參數:

                                                                                                                                                  app_datasource_connection_pool_max大小:10
                                                                                                                                                  15

                                                                                                                                                  按一下繼續 位於重設服務帳戶密碼 螢幕。

                                                                                                                                                  服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。

                                                                                                                                                  16

                                                                                                                                                  按一下下載ISO檔案。將檔案儲存在易於尋找的位置。

                                                                                                                                                  17

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。

                                                                                                                                                  確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  18

                                                                                                                                                  若要關閉「設定」工具,請鍵入 CTRL + C

                                                                                                                                                  下一步

                                                                                                                                                  備份組態ISO檔案。您需要它來建立更多節點用於復原,或進行組態變更。如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。


                                                                                                                                                   

                                                                                                                                                  我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  使用此流程可從 OVA 檔案建立虛擬機器。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

                                                                                                                                                  2

                                                                                                                                                  選取檔案>部署 OVF 範本

                                                                                                                                                  3

                                                                                                                                                  在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個

                                                                                                                                                  4

                                                                                                                                                  選取名稱和資料夾 頁面上,輸入虛擬機器名稱 用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  選取計算資源 頁面上,選擇目標計算資源,然後按一下下一個

                                                                                                                                                  執行驗證檢查。完成後,會出現範本詳細資料。

                                                                                                                                                  6

                                                                                                                                                  驗證範本詳細資料,然後按一下下一個

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在設定 頁面,按一下4 個CPU 然後按一下下一個

                                                                                                                                                  8

                                                                                                                                                  選取儲存空間 頁面,按一下下一個 接受預設磁碟格式和VM儲存原則。

                                                                                                                                                  9

                                                                                                                                                  選取網路 頁面上,從項目清單中選擇網路選項以提供所需的VM連線。

                                                                                                                                                  10

                                                                                                                                                  自訂範本 頁面,設定下列網路設定:

                                                                                                                                                  • 主機名稱— 輸入節點的 FQDN(主機名稱和網域)或單字主機名稱。

                                                                                                                                                     
                                                                                                                                                    • 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                    • 若要確保成功註冊雲端,請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。目前不支援大寫。

                                                                                                                                                    • FQDN 的總長度不得超過 64 個字元。

                                                                                                                                                  • IP位址— 輸入節點內部介面的IP 位址。

                                                                                                                                                     

                                                                                                                                                    您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。

                                                                                                                                                  • 遮罩— 以點十進製表示法輸入子網路遮罩位址。譬如, 255.255.255.0
                                                                                                                                                  • 閘道—輸入閘道IP 位址。閘道是用作另一個網路的存取點的網路節點。
                                                                                                                                                  • DNS伺服器— 輸入以逗號分隔的DNS伺服器清單,該伺服器負責將網域名稱轉換為數字IP位址。(最多允許 4 個DNS項目。)
                                                                                                                                                  • NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。預設NTP伺服器可能不適用於所有企業。您還可以使用逗號分隔的清單來輸入多個NTP伺服器。
                                                                                                                                                  • 將所有節點部署在相同的子網路或VLAN上,以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

                                                                                                                                                  如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM 以從節點主控台配置設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  在節點VM上按一下滑鼠右鍵,然後選擇電源 >開啟電源

                                                                                                                                                  混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。

                                                                                                                                                  疑難排解提示

                                                                                                                                                  在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。

                                                                                                                                                  1

                                                                                                                                                  在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台 標籤。

                                                                                                                                                  VM啟動並出現登入提示。如果沒有顯示登入提示,請按 Enter 鍵。
                                                                                                                                                  2

                                                                                                                                                  使用以下預設登入和密碼來登入和變更認證:

                                                                                                                                                  1. 登入:管理員

                                                                                                                                                  2. 密碼:cisco

                                                                                                                                                  由於您是首次登入VM ,因此您必須變更管理員密碼。

                                                                                                                                                  3

                                                                                                                                                  如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。否則,在主功能表表 中,選取編輯設定 選項。

                                                                                                                                                  4

                                                                                                                                                  使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。

                                                                                                                                                  5

                                                                                                                                                  (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。

                                                                                                                                                  您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                  6

                                                                                                                                                  儲存網路組態設定並重新啟動VM以使變更生效。

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

                                                                                                                                                  在開始之前

                                                                                                                                                  因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。請確保僅那些管理員可以存取資料存放區。

                                                                                                                                                  1

                                                                                                                                                  從您的電腦上傳ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,按一下 ESXi 伺服器。

                                                                                                                                                  2. 在組態標籤的硬體清單中,按一下儲存

                                                                                                                                                  3. 在資料儲存區清單中,按右鍵一下 VM 的資料儲存區,然後按一下瀏覽資料儲存區

                                                                                                                                                  4. 按一下上傳檔案圖示,然後按一下上傳檔案

                                                                                                                                                  5. 瀏覽到您在電腦上下載ISO檔案的位置,然後按一下開啟

                                                                                                                                                  6. 按一下 接受上傳/下載操作警告,並關閉資料存放區對話。

                                                                                                                                                  2

                                                                                                                                                  裝載ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  2. 按一下確定 接受受限編輯選項警告。

                                                                                                                                                  3. 按一下CD/ DVD驅動器 1 ,選取從資料儲存區ISO檔案裝載的選項,然後瀏覽到您上傳設定ISO檔案的位置。

                                                                                                                                                  4. 檢查已連線開啟電源時連接

                                                                                                                                                  5. 儲存變更並重新啟動虛擬機器。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

                                                                                                                                                  在開始之前

                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中輸入 HDS 節點設定 URL https://[HDS 節點 IP 或 FQDN]/setup,輸入您為該節點設定的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至信任儲存庫和 Proxy,然後選擇一個選項:

                                                                                                                                                  • 無 Proxy — 整合 Proxy 之前的預設選項。無需更新憑證。
                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址,因此不需要任何變更即可使用非檢查 Proxy。無需更新憑證。
                                                                                                                                                  • 透通的檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
                                                                                                                                                  • 明確 Proxy - 透過明確的 Proxy,您可以告知用戶端(HDS 節點)使用哪個代理伺服器,此選項支援多種驗證類型。選擇此選項後,您必須輸入以下資訊:
                                                                                                                                                    1. Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。

                                                                                                                                                    2. Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。

                                                                                                                                                    3. Proxy 通訊協定— 選擇http (檢視和控制從用戶端收到的所有請求)或https (提供伺服器的通道,且用戶端接收並驗證伺服器的憑證)。根據 Proxy 伺服器支援的內容來選擇一個選項。

                                                                                                                                                    4. 驗證類型- 從以下驗證類型中選擇:

                                                                                                                                                      • — 不需要進一步的驗證。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                      • 基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅適用於 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                  針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

                                                                                                                                                  3

                                                                                                                                                  按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

                                                                                                                                                  憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

                                                                                                                                                  如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」

                                                                                                                                                  5

                                                                                                                                                  連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

                                                                                                                                                  節點會在幾分鐘內重新啟動。

                                                                                                                                                  7

                                                                                                                                                  節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

                                                                                                                                                  Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  此工作採用您在設定混合資料安全VM ,向Webex雲端註冊節點,並將其轉換為「混合資料安全性」節點。

                                                                                                                                                  註冊第一個節點時,您會建立將獲指定節點的叢集。叢集包含一個或多個節點,為提供備援而部署。

                                                                                                                                                  在開始之前

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  從螢幕左側的功能表中,選取服務

                                                                                                                                                  3

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  出現「註冊混合資料安全節點」頁。
                                                                                                                                                  4

                                                                                                                                                  選取 以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。

                                                                                                                                                  我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」

                                                                                                                                                  6

                                                                                                                                                  在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                  此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM

                                                                                                                                                  將出現一則訊息,指出您可以向Webex註冊您的節點。
                                                                                                                                                  7

                                                                                                                                                  按一下移至節點

                                                                                                                                                  8

                                                                                                                                                  按一下警告訊息中的繼續

                                                                                                                                                  稍待片刻後,您被重新導向至Webex服務的節點連線測試。如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。在這裡,您確認要向Webex組織授予權限,以存取您的節點。
                                                                                                                                                  9

                                                                                                                                                  檢查允許存取您的混合資料安全節點 勾選方塊,然後按一下繼續

                                                                                                                                                  您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  10

                                                                                                                                                  按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  混合資料安全性 頁面上,會顯示包含您註冊的節點的新叢集。節點將自動從雲端下載最新的軟體。

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  若要向叢集新增其他節點,您只需建立其他 VM 並裝載相同的ISO設定檔案,然後註冊節點。我們建議您至少有 3 個節點。

                                                                                                                                                   

                                                                                                                                                  目前,您在 中建立的備份 VM完成混合資料安全性的先決條件 是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。有關詳細資訊,請參閱使用待機資料中心進行災害復原

                                                                                                                                                  在開始之前

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA

                                                                                                                                                  2

                                                                                                                                                  在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO

                                                                                                                                                  4

                                                                                                                                                  如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 為新節點提供需要。

                                                                                                                                                  5

                                                                                                                                                  註冊節點。

                                                                                                                                                  1. 輸入https://admin.webex.com,選取服務 從螢幕左側的功能表中。

                                                                                                                                                  2. 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下資源

                                                                                                                                                    出現「混合資料安全性資源」頁。
                                                                                                                                                  3. 按一下新增資源

                                                                                                                                                  4. 在第一個欄位中,選取現有叢集的名稱。

                                                                                                                                                  5. 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                    系統將顯示一則訊息,指出您可以將節點註冊到Webex雲端。
                                                                                                                                                  6. 按一下移至節點

                                                                                                                                                    稍待片刻後,您被重新導向至Webex服務的節點連線測試。如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。在這裡,您確認要向組織授予權限,以存取您的節點。
                                                                                                                                                  7. 檢查允許存取您的混合資料安全節點 勾選方塊,然後按一下繼續

                                                                                                                                                    您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  8. 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  您的節點已註冊。請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下一步

                                                                                                                                                  執行試用並移至生產 (下一章)
                                                                                                                                                  執行試用並移至生產

                                                                                                                                                  試用到生產任務流程

                                                                                                                                                  "安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。

                                                                                                                                                  1

                                                                                                                                                  如果適用,請同步Hds試用群組 群組物件。

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取Hds試用群組 群組物件以同步到雲端,然後才能開始試用。如需相關指示,請參閱Cisco目錄連接器的部署指南。

                                                                                                                                                  2

                                                                                                                                                  啟動試用服務

                                                                                                                                                  開始試用服務。在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。

                                                                                                                                                  3

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  4

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  檢查狀態,並"安裝;設定"的電子郵件通知。

                                                                                                                                                  5

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  6

                                                                                                                                                  使用下列動作之一完成試用階段:

                                                                                                                                                  啟動試用服務

                                                                                                                                                  在開始之前

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取Hds試用群組 群組物件以同步到雲端,然後才能為組織開始試用服務。如需相關指示,請參閱Cisco目錄連接器的部署指南。

                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下開始試用

                                                                                                                                                  服務狀態變更為試用模式。
                                                                                                                                                  4

                                                                                                                                                  按一下新增使用者 並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。

                                                                                                                                                  (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, Hds試用群組。)

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  使用此流程來測試「混合資料安全性」加密情境。

                                                                                                                                                  在開始之前

                                                                                                                                                  • 設定您的「混合資料安全性」部署。

                                                                                                                                                  • 啟用試用服務,並新增多個試用服務使用者。

                                                                                                                                                  • 請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

                                                                                                                                                  1

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。


                                                                                                                                                   

                                                                                                                                                  如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。

                                                                                                                                                  2

                                                                                                                                                  傳送訊息至新空間。

                                                                                                                                                  3

                                                                                                                                                  檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  1. 若要檢查是否有使用者首先建立通往 KMS 的安全通道,請篩選kms.data.method=建立kms.data.type=暫時_鍵_集合

                                                                                                                                                    您應該會找到如下所示的項目(為便於閱讀而縮短了標識符):
                                                                                                                                                    已收到 2020-07-21 17:35:34.562 (+000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST],裝置 ID:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdhe孩子:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKms訊息處理程序.java:312) WEBEX_ TRACKINGID=HdsIntTest_d [~]0, kms.data.method=建立,kms.merc.id=8[~]a,kms.merc.sync=false,kms.data.uriHost=hds2.org5.portun.us, kms.data.type=暫時_鍵_集合、kms.data.requestId=9[~]6、kms.data.uri=kms://hds2.org5.portun.us/ecdhe、kms.data.userId=0[~]2
                                                                                                                                                  2. 若要檢查是否有使用者從 KMS 請求現有金鑰,請篩選kms.data.method=擷取kms.data.type=密鑰

                                                                                                                                                    您應該會找到類似如下的項目:
                                                                                                                                                    已收到 2020 年 7 月 17:44:19.889 (+000) 資訊 KMS [pool-14-thread-31] - [KMS:REQUEST],裝置 ID:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdhe孩子:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKms訊息處理程序.java:312) WEBEX_ TRACKINGID=HdsIntTest_f [~]0, kms.data.method=擷取、kms.merc.id=c[~]7、kms.merc.sync=false、kms.data.uriHost=ciscospark.com、 kms.data.type=密鑰、kms.data.requestId=9[~]3、kms.data.uri=kms://ciscospark.com/keys/d[~]2、kms.data.userId=1[~]b
                                                                                                                                                  3. 若要檢查是否有使用者請求建立新的 KMS 金鑰,請篩選kms.data.method=建立kms.data.type=密鑰_集合

                                                                                                                                                    您應該會找到類似如下的項目:
                                                                                                                                                    已收到 2020-07-21 17:44:21.975 (+000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST],裝置 ID:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdhe孩子:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKms訊息處理程序.java:312) WEBEX_ TRACKINGID=HdsIntTest_ 4[~]0, kms.data.method=建立,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=空, kms.data.type=密鑰_集合,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b
                                                                                                                                                  4. 若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO),請篩選kms.data.method=建立kms.data.type=資源_集合

                                                                                                                                                    您應該會找到類似如下的項目:
                                                                                                                                                    已收到 2020 年 17:44:22.808 (+000) 資訊 KMS [pool-15-thread-1] - [KMS:REQUEST],裝置 ID:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdhe孩子:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKms訊息處理程序.java:312) WEBEX_ TRACKINGID=HdsIntTest_d [~]0, kms.data.method=建立,kms.merc.id=5[~]3,kms.merc.sync=true,kms.data.uriHost=空, kms.data.type=資源_集合,kms.data.requestId=d[~]e,kms.data.uri=/resources,kms.data.userId=1[~]b

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。如需更主動的警示,請註冊電子郵件通知。當發生影響服務的警報或軟體升級時,您將會收到通知。
                                                                                                                                                  1

                                                                                                                                                  輸入Control Hub ,選取服務 從螢幕左側的功能表中。

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  隨即顯示混合資料安全性設定頁面。
                                                                                                                                                  3

                                                                                                                                                  在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  在您啟動試用服務並新增初始試用使用者集後,您可以在試用服務有效期間隨時新增或移除試用成員。

                                                                                                                                                  如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。

                                                                                                                                                  如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, Hds試用群組;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯 以從試用服務中移除使用者。

                                                                                                                                                  4

                                                                                                                                                  輸入要新增的一個或多個使用者的電子郵件地址,或按一下X 透過使用者 ID將該使用者從試用服務中移除。然後按一下儲存

                                                                                                                                                  從試用服務移至生產環境

                                                                                                                                                  當您對您的部署適用於試用使用者感到滿意時,可以移至生產。當您移至生產時,組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。除非您在災害復原過程中停用該服務,否則您無法從生產環境移回試用模式。重新啟動服務需要"安裝;設定"新的試用服務。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下移至生產環境

                                                                                                                                                  4

                                                                                                                                                  確認您要將所有使用者移至生產環境。

                                                                                                                                                  在不移至生產的情況下結束試用服務

                                                                                                                                                  如果在試用期間,您決定不繼續部署「混合資料安全性」,您可以停用「混合資料安全性」,這將結束試用服務,並將試用使用者移回雲端資料安全性服務。試用使用者將失去對試用期間加密的資料的存取權。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在停用區段中,按一下停用

                                                                                                                                                  4

                                                                                                                                                  確認您要停用服務並結束試用服務。

                                                                                                                                                  管理您的 HDS 部署

                                                                                                                                                  管理 HDS 部署

                                                                                                                                                  使用這裡描述的任務來管理您的「混合資料安全性」部署。

                                                                                                                                                  設定叢集升級排程

                                                                                                                                                  混合資料安全性的軟體升級可在叢集層級自動完成,從而確保所有節點始終執行相同的軟體版本。根據叢集的升級排程來完成升級。當軟體升級變成可用時,您可以選擇在排定的升級時間之前手動升級叢集。可以設定特定的升級排程,或者使用預設排程(美國每天凌晨 3:00):美洲/洛杉磯。必要時,也可以選擇延遲即將進行的升級。

                                                                                                                                                  若要設定升級排程:

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在概觀頁面上的混合服務下,選取混合資料安全性

                                                                                                                                                  3

                                                                                                                                                  在「混合資料安全性資源」頁上,選取叢集。

                                                                                                                                                  4

                                                                                                                                                  在右側的概觀面板中,在叢集設定下,選取叢集名稱。

                                                                                                                                                  5

                                                                                                                                                  在「設定」頁面上的「升級」下,選取升級排程的時間和時區。

                                                                                                                                                  附註:在「時區」下,會顯示下一可用升級日期和時間。如有需要,您可以透過按一下延遲

                                                                                                                                                  變更節點組態

                                                                                                                                                  偶爾出於如下原因,您可能需要變更混合資料安全節點的設定:
                                                                                                                                                  • 由於到期或其他原因而變更 x.509 憑證。


                                                                                                                                                     

                                                                                                                                                    我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。

                                                                                                                                                  • 更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。


                                                                                                                                                     

                                                                                                                                                    我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。

                                                                                                                                                  • 建立新的設定以準備新的資料中心。

                                                                                                                                                  同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:

                                                                                                                                                  • 軟重設— 舊密碼和新密碼最多可使用 10 天。使用此時段逐步取代節點上的 ISO 檔案。

                                                                                                                                                  • 硬重設— 舊密碼立即失效。

                                                                                                                                                  如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。

                                                                                                                                                  使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

                                                                                                                                                  在開始之前

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠

                                                                                                                                                  • 您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。

                                                                                                                                                  1

                                                                                                                                                  在本端機器上使用 Docker 來執行「HDS 設定」工具。

                                                                                                                                                  1. 在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    Docker rmi ciscocitg/hds 設定:穩定版

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2. 若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                    Docker 登入 -u HDs客戶羅
                                                                                                                                                  3. 在密碼提示中,輸入此雜湊:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6RokvKUIo
                                                                                                                                                  4. 下載適用於您環境的最新穩定映像:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    確保為此程序擷取最新的「設定」工具。2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

                                                                                                                                                  5. 提取完成後,輸入適用於您環境的指令:

                                                                                                                                                    • 在沒有 Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e 全球_代理_HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e 全球_代理_HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e 全球_代理_HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e 全球_代理_HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6. 使用瀏覽器來連線 localhost,http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 本地主機。

                                                                                                                                                  7. 提示時,輸入 Control Hub 客戶登入認證,然後按一下接受 以繼續。

                                                                                                                                                  8. 匯入現行設定 ISO 檔案。

                                                                                                                                                  9. 遵循提示來完成工具並下載更新檔。

                                                                                                                                                    若要關閉「設定」工具,請鍵入 CTRL + C

                                                                                                                                                  10. 在其他資料中心中建立已更新檔案的備份副本。

                                                                                                                                                  2

                                                                                                                                                  若您僅在執行一個 HDS 節點,建立新的「混合資料安全性」節點VM並使用新的ISO設定檔案進行註冊。如需更詳細的指示,請參閱建立並註冊更多節點

                                                                                                                                                  1. 安裝 HDS 主機 OVA。

                                                                                                                                                  2. 設定 HDS 虛擬機器。

                                                                                                                                                  3. 安裝已更新的設定檔案。

                                                                                                                                                  4. 在 Control Hub 中註冊新的節點。

                                                                                                                                                  3

                                                                                                                                                  針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點:

                                                                                                                                                  1. 關閉虛擬機器。

                                                                                                                                                  2. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  3. 按一下 CD/DVD 光碟機 1,選取從 ISO 檔案安裝的選項,並瀏覽至您下載新設定 ISO 檔案的位置。

                                                                                                                                                  4. 勾選開啟電源時連線

                                                                                                                                                  5. 儲存變更並開啟虛擬機器的電源。

                                                                                                                                                  4

                                                                                                                                                  重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

                                                                                                                                                  關閉封鎖的外部 DNS 解析模式

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。

                                                                                                                                                  如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

                                                                                                                                                  在開始之前

                                                                                                                                                  確保您的內部 DNS 伺服器可以解析公用 DNS 名稱,而且您的節點可以與它們通訊。
                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup), 輸入您為節點"安裝;設定"的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至概觀(預設頁面)。

                                                                                                                                                  啟用時,封鎖的外部 DNS 解析設定為

                                                                                                                                                  3

                                                                                                                                                  轉至信任儲存庫和 Proxy 頁面。

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。

                                                                                                                                                  下一步

                                                                                                                                                  在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

                                                                                                                                                  移除節點

                                                                                                                                                  使用此流程從Webex雲端移除「混合資料安全性」節點。從叢集中移除節點後,請刪除虛擬機器以防止進一步存取您的安全性資料。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。

                                                                                                                                                  2

                                                                                                                                                  移除節點:

                                                                                                                                                  1. 登入 Control Hub,然後選取服務

                                                                                                                                                  2. 在混合資料安全性卡片上,按一下檢視全部 以顯示「混合資料安全性資源」頁。

                                                                                                                                                  3. 選取您的叢集以顯示其概觀面板。

                                                                                                                                                  4. 按一下開啟節點清單

                                                                                                                                                  5. 在節點標籤上,選取要移除的節點。

                                                                                                                                                  6. 按一下動作 >取消註冊節點

                                                                                                                                                  3

                                                                                                                                                  在 vSphere 用戶端中,刪除VM。(在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。)

                                                                                                                                                  如果您不刪除VM,請記住解除掛載ISO設定檔案。如果沒有ISO檔案,您將無法使用VM來存取安全性資料。

                                                                                                                                                  使用待機資料中心進行災害復原

                                                                                                                                                  混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。

                                                                                                                                                  因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。為了防止此類遺失,必須採取以下做法:

                                                                                                                                                  若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定 頁面,在下面新增設定或移除被動模式 配置以使節點處於活動狀態。進行此設定後,節點即可處理流量。

                                                                                                                                                   被動模式:「錯誤」 

                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接 會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。「KMS 已設定為被動模式」不應出現在系統記錄中。

                                                                                                                                                  下一步

                                                                                                                                                  在容錯移轉後,如果主資料中心再次變為活躍狀態,請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原

                                                                                                                                                  (可選)在 HDS 配置後解除掛載ISO

                                                                                                                                                  標準 HDS 組態在安裝ISO的情況下執行。但是,有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

                                                                                                                                                  您仍然使用ISO檔案來進行組態變更。當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。

                                                                                                                                                  在開始之前

                                                                                                                                                  將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

                                                                                                                                                  1

                                                                                                                                                  關閉其中一個 HDS 節點。

                                                                                                                                                  2

                                                                                                                                                  在 vCenter Server Appliance 中,選取 HDS 節點。

                                                                                                                                                  3

                                                                                                                                                  選擇編輯設定 > CD/ DVD驅動器 並取消選取資料儲存區ISO檔案

                                                                                                                                                  4

                                                                                                                                                  開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。

                                                                                                                                                  5

                                                                                                                                                  依次為每個 HDS 節點重複此操作。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  檢視警示和疑難排解

                                                                                                                                                  如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:

                                                                                                                                                  • 無法建立新空間(無法建立新鍵)

                                                                                                                                                  • 訊息和空間標題無法解密:

                                                                                                                                                    • 新使用者新增至空間(無法擷取金鑰)

                                                                                                                                                    • 使用新用戶端的空間中的現有使用者(無法擷取金鑰)

                                                                                                                                                  • 空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取

                                                                                                                                                  請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

                                                                                                                                                  警示

                                                                                                                                                  如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多常見情況。

                                                                                                                                                  表格 1。 常見問題及解決問題的步驟

                                                                                                                                                  警示

                                                                                                                                                  動作

                                                                                                                                                  本端資料庫存取失敗。

                                                                                                                                                  檢查是否存在資料庫錯誤或本地網路問題。

                                                                                                                                                  本機資料庫連線失敗。

                                                                                                                                                  檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。

                                                                                                                                                  存取雲端服務失敗。

                                                                                                                                                  檢查節點是否可以存取中指定的Webex伺服器外部連線需求

                                                                                                                                                  正在更新雲端服務註冊。

                                                                                                                                                  已刪除對雲端服務的註冊。進行中重新註冊註冊。

                                                                                                                                                  雲端服務註冊已刪除。

                                                                                                                                                  已終止向雲端服務註冊。服務正在關閉。

                                                                                                                                                  服務尚未啟動。

                                                                                                                                                  啟用試用服務,或完成將試用服務移至生產環境。

                                                                                                                                                  設定的網域與伺服器憑證不相符。

                                                                                                                                                  請確保您的伺服器憑證符合設定的服務啟動網域。

                                                                                                                                                  最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。

                                                                                                                                                  無法針對雲端服務進行驗證。

                                                                                                                                                  檢查服務帳戶認證的準確性及是否可能過期。

                                                                                                                                                  無法開啟本機金鑰儲存區檔案。

                                                                                                                                                  檢查本機金鑰存放區檔案的完整性和密碼準確度。

                                                                                                                                                  本機伺服器憑證無效。

                                                                                                                                                  檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。

                                                                                                                                                  無法公佈指標。

                                                                                                                                                  檢查對外部雲端服務的本地網路存取。

                                                                                                                                                  /media/configDrive/hds 目錄不存在。

                                                                                                                                                  檢查虛擬主機上的ISO裝載設定。驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  當對混合資料安全性問題進行疑難排解時,請使用以下一般準則。
                                                                                                                                                  1

                                                                                                                                                  複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。

                                                                                                                                                  2

                                                                                                                                                  複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。

                                                                                                                                                  3

                                                                                                                                                  聯絡Cisco 支援

                                                                                                                                                  其他附註

                                                                                                                                                  混合資料安全性的已知問題

                                                                                                                                                  • 如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這適用於試用和生產部署。我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。

                                                                                                                                                  • 與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。

                                                                                                                                                    當您將組織的試用服務移至生產時,會發生相同的行為。所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。

                                                                                                                                                  使用 OpenSSL 產生 PKCS12 檔案

                                                                                                                                                  在開始之前

                                                                                                                                                  • OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。

                                                                                                                                                  • 如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。請先了解這些需求,然後再繼續。

                                                                                                                                                  • 在受支援的環境中安裝 OpenSSL。請參閱https://www.openssl.org 獲取軟體和文件。

                                                                                                                                                  • 建立私密金鑰。

                                                                                                                                                  • 當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。

                                                                                                                                                  1

                                                                                                                                                  當您從 CA 收到伺服器憑證時,將其另存為hds節點.pem

                                                                                                                                                  2

                                                                                                                                                  將憑證顯示為文字,並驗證詳細資料。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文字編輯器建立一個名為hds節點-bundle.pem 。組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證,格式如下:

                                                                                                                                                  -----開始憑證 ----- ### 伺服器憑證。 ### -----結束憑證---- -----開始憑證----- ### 中間CA 憑證。 ### -----結束憑證---- -----開始憑證----- ### 根CA 憑證。 ### -----結束憑證 -----

                                                                                                                                                  4

                                                                                                                                                  使用易記名稱建立 .p12 檔案kms 私密金鑰

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  檢查伺服器憑證詳細資料。

                                                                                                                                                  1. openssl pkcs12 - 在 hdsnode.p12 中

                                                                                                                                                  2. 在提示時輸入密碼以加密私密金鑰,使其在輸出中列出。然後,驗證私密金鑰和第一個憑證是否包含以下行友好名稱:kms 私密金鑰

                                                                                                                                                    範例:

                                                                                                                                                    bash$ openssl pkcs12 -在 hdsnode.p12 中輸入匯入密碼:已MAC驗證的確定包屬性友好名稱:kms 私密金鑰 本地金鑰 ID:54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 鍵屬性:輸入 PEM 密碼:驗證 - 輸入 PEM 密碼:-----開始加密的私人金鑰----- -----結束加密私人金鑰----- 包屬性友好名稱:kms 私密金鑰 本地金鑰 ID:54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主旨=/CN=hds1.org6.portun.us 發行者=/C=US/O=讓我們加密/CN=讓我們加密授權機構 X3 -- ---開始憑證 ----- -----結束憑證 ----- 包屬性友好名稱:CN=讓我們加密授權 X3,O=讓我們加密,C=US 主體=/C=US/O=讓我們加密/CN=讓我們加密授權 X3 發行者=/O=數位簽名信任公司/CN=DST 根 CA X3 -----開始憑證 ----- -----結束憑證 -----

                                                                                                                                                  下一步

                                                                                                                                                  返回到完成混合資料安全性的先決條件。您將使用hds節點.p12 檔案以及您為該檔案設定的密碼,在為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。

                                                                                                                                                  HDS 節點與雲端之間的流量

                                                                                                                                                  輸出指標收集流量

                                                                                                                                                  混合資料安全性節點將某些指標傳送至Webex雲端。這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。

                                                                                                                                                  入埠流量

                                                                                                                                                  混合資料安全性節點從Webex雲端接收以下類型的入埠流量:

                                                                                                                                                  • 來自用戶端的加密請求,由加密服務路由

                                                                                                                                                  • 升級至節點軟體

                                                                                                                                                  設定 Squid Proxy 以實現混合資料安全

                                                                                                                                                  Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss: ) 連線。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss: 流量,從而確保服務正確運作。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  新增on_unsupported_protocol 指示為squid 設定檔

                                                                                                                                                  on_unsupported_protocol 全部傳送

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我們透過新增以下規則至 squid.conf,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump 拼接 wssMercuryConnection acl 步驟 1at_step SSLBump1 acl 步驟 2at_step SSLBump2 acl 步驟 3at_step SSLBump3ssl_bump 全部查看步驟 1ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
                                                                                                                                                  前言

                                                                                                                                                  新的和變更的資訊

                                                                                                                                                  日期

                                                                                                                                                  進行的變更

                                                                                                                                                  2023 年 10 月 20 日

                                                                                                                                                  2023 年 8 月 7 日

                                                                                                                                                  2023 年 5 月 23 日

                                                                                                                                                  2022 年 12 月 6 日

                                                                                                                                                  2022 年 11 月 23 日

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  2021 年 1 月 11 日

                                                                                                                                                  新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  已更新下載安裝檔案

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態用於 FedRAMP 環境的指令。

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態登入程序變更。

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。

                                                                                                                                                  已更新虛擬主機需求以移除數目上限的主機。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  已更新移除節點了解 Control Hub UI 中的變更。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  已更新外部連線需求與新的美洲 CI 主機搭配。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  已更新外部連線需求包含有關區域 CI 主機的資訊。

                                                                                                                                                  2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。
                                                                                                                                                  2020 年 2 月 4 日已更新Proxy 伺服器需求
                                                                                                                                                  2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下章節中新增了有關已封鎖外部DNS解析模式的資訊:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。

                                                                                                                                                  已相應地更新了下列章節:


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  新增SQL Server Standard 至資料庫伺服器需求

                                                                                                                                                  2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

                                                                                                                                                  若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。

                                                                                                                                                  2019 年 6 月 13 日已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。
                                                                                                                                                  2019 年 3 月 6 日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB,以反映 OVA 建立的磁碟大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線,以及與具有TLS功能的 syslog 伺服器的加密記錄連線。 已更新為 HDS 主機建立設定ISO並附有指示。

                                                                                                                                                  • 從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。 表格現在引用了在下列情況下維護的Webex: Webex Teams 服務的網路要求

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合資料安全性現在支援將Microsoft SQL Server 作為資料庫。 混合資料安全性中使用的 JDBC 驅動程式支援SQL Server永遠開啟(永遠開啟故障轉移叢集和始終開啟可用性群組)。 新增了與使用SQL Server 進行部署相關的內容。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。 目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

                                                                                                                                                  2018 年 11 月 5 日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  變更了術語以反映Cisco Spark的品牌更名:

                                                                                                                                                  • Cisco Spark混合資料安全性現已更名為混合資料安全性。

                                                                                                                                                  • Cisco Spark應用程式現在更名為Webex App 應用程式。

                                                                                                                                                  • Cisco Collaboration Cloud 現已更名為Webex Cloud。

                                                                                                                                                  2018 年 4 月 11 日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509 憑證需求表,指定憑證不能是萬用憑證,且 KMS 使用 CN 網域,而不是 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017 年 11 月 2 日

                                                                                                                                                  • 釐清了 Hds TrialGroup 的目錄同步。

                                                                                                                                                  • 修正了上傳ISO組態檔以掛載到VM節點的指示。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  首次公佈

                                                                                                                                                  混合資料安全性入門

                                                                                                                                                  混合資料安全性概觀

                                                                                                                                                  從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

                                                                                                                                                  預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。

                                                                                                                                                  安全性領域架構

                                                                                                                                                  Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

                                                                                                                                                  分離領域(無混合資料安全性)

                                                                                                                                                  為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。

                                                                                                                                                  在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:

                                                                                                                                                  1. 用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。

                                                                                                                                                  2. 訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。

                                                                                                                                                  3. 加密的訊息傳送至合規服務進行合規檢查。

                                                                                                                                                  4. 加密的訊息儲存在儲存領域中。

                                                                                                                                                  部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。

                                                                                                                                                  與其他組織協作

                                                                                                                                                  您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

                                                                                                                                                  在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。

                                                                                                                                                  對部署混合資料安全性的預期

                                                                                                                                                  混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。

                                                                                                                                                  若要部署混合資料安全性,您必須提供:

                                                                                                                                                  完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:

                                                                                                                                                  • 管理資料庫及設定ISO的備份與復原。

                                                                                                                                                  • 準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。


                                                                                                                                                   

                                                                                                                                                  沒有任何機制可在部署 HDS 後將金鑰移回雲端。

                                                                                                                                                  高階設定過程

                                                                                                                                                  此文件涵蓋「混合資料安全性」部署的設定和管理:

                                                                                                                                                  • 設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。

                                                                                                                                                    接下來的三章將詳細涵蓋設定、試用和生產階段。

                                                                                                                                                  • 維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。

                                                                                                                                                  • 了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

                                                                                                                                                  在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

                                                                                                                                                  混合資料安全性部署模式

                                                                                                                                                  叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)

                                                                                                                                                  叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。

                                                                                                                                                  當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。

                                                                                                                                                  每個組織僅支援一個叢集。

                                                                                                                                                  混合資料安全性試用模式

                                                                                                                                                  在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。

                                                                                                                                                  如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。

                                                                                                                                                  如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。

                                                                                                                                                  用於災害復原的備用資料中心

                                                                                                                                                  在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  手動故障轉換至備用資料中心

                                                                                                                                                  作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。


                                                                                                                                                   

                                                                                                                                                  作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

                                                                                                                                                  設定備用資料中心以進行災害復原

                                                                                                                                                  請遵循下列步驟來設定備用資料中心的ISO檔案:

                                                                                                                                                  準備工作

                                                                                                                                                  • 備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)

                                                                                                                                                  • 請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 以驗證節點是否處於被動模式。 您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

                                                                                                                                                  下一步

                                                                                                                                                  設定後 passiveMode 在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode 設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode 已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,

                                                                                                                                                  Proxy 支援

                                                                                                                                                  混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

                                                                                                                                                  混合資料安全節點支援以下 Proxy 選項:

                                                                                                                                                  • 無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。

                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。

                                                                                                                                                  • 透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:

                                                                                                                                                      • HTTP — 檢視並控制用戶端傳送的所有請求。

                                                                                                                                                      • HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                  混合資料安全節點和 Proxy 的範例

                                                                                                                                                  此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

                                                                                                                                                  已封鎖外部 DNS 解析模式(明確 Proxy 設定)

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

                                                                                                                                                  準備您的環境

                                                                                                                                                  混合資料安全性的需求

                                                                                                                                                  Cisco Webex授權需求

                                                                                                                                                  若要部署混合資料安全性:

                                                                                                                                                  Docker 桌面需求

                                                                                                                                                  安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。

                                                                                                                                                  X.509 憑證需求

                                                                                                                                                  憑證鏈結必須符合下列需求:

                                                                                                                                                  表 1. 混合資料安全性部署的 X.509 憑證需求

                                                                                                                                                  需求

                                                                                                                                                  詳細資訊

                                                                                                                                                  • 由受信任的憑證授權單位(CA) 簽署

                                                                                                                                                  依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱

                                                                                                                                                  • 不是萬用憑證

                                                                                                                                                  不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, hds.company.com

                                                                                                                                                  CN 不能包含 *(萬用字元)。

                                                                                                                                                  CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。

                                                                                                                                                  當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。

                                                                                                                                                  • 非 SHA1 簽章

                                                                                                                                                  KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。

                                                                                                                                                  • 已格式化為受密碼保護的 PKCS #12 檔案

                                                                                                                                                  • 使用的易記名稱: kms-private-key 標記憑證、私密金鑰以及要上傳的任何中間憑證。

                                                                                                                                                  您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。

                                                                                                                                                  當您執行 HDS 設定工具時,您將需要輸入密碼。

                                                                                                                                                  KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。

                                                                                                                                                  虛擬主機需求

                                                                                                                                                  您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:

                                                                                                                                                  • 至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心

                                                                                                                                                  • VMware ESXi 6.5(或更高版本)已安裝且正在執行。


                                                                                                                                                     

                                                                                                                                                    如果您具有較舊的 ESXi 版本,則必須升級。

                                                                                                                                                  • 每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

                                                                                                                                                  資料庫伺服器需求


                                                                                                                                                   

                                                                                                                                                  建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。

                                                                                                                                                  資料庫伺服器有兩個選項。 每個項目的需求如下:

                                                                                                                                                  表格 2. 依資料庫類型排列資料庫伺服器需求

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • 已安裝且正在執行 PostgreSQL 14、15 或 16。

                                                                                                                                                  • 已安裝SQL Server 2016、2017 或 2019(企業版或標準版)。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB)

                                                                                                                                                  HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC 驅動程式 42.2.5

                                                                                                                                                  SQL Server JDBC 驅動程式 4.6

                                                                                                                                                  此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例AlwaysOn 可用性群組)。

                                                                                                                                                  針對Microsoft SQL Server 的 Windows 驗證的其他需求

                                                                                                                                                  如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:

                                                                                                                                                  • HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。

                                                                                                                                                  • 您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。

                                                                                                                                                  • 您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。

                                                                                                                                                  • 您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱

                                                                                                                                                    HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。

                                                                                                                                                  外部連線需求

                                                                                                                                                  設定您的防火牆,以允許 HDS 應用程式進行以下連線:

                                                                                                                                                  應用程式

                                                                                                                                                  通訊協定

                                                                                                                                                  連接埠

                                                                                                                                                  來自應用程式的方向

                                                                                                                                                  目標

                                                                                                                                                  混合資料安全節點

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS 和 WSS

                                                                                                                                                  • Webex伺服器:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • 中針對混合資料安全性列出的其他 URL: Webex Hybrid Services 的其他 URL的表格Webex服務的網路要求

                                                                                                                                                  HDS 設定工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • Hub.docker.com


                                                                                                                                                   

                                                                                                                                                  「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。

                                                                                                                                                  通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:

                                                                                                                                                  地區

                                                                                                                                                  通用身份識別主持人 URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  歐盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy 伺服器要求

                                                                                                                                                  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

                                                                                                                                                    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

                                                                                                                                                    • 明確 Proxy — Squid。


                                                                                                                                                       

                                                                                                                                                      檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性

                                                                                                                                                  • 我們支援明確 Proxy 的以下驗證類型組合:

                                                                                                                                                    • 不使用 HTTP 或 HTTPS 進行驗證

                                                                                                                                                    • 使用 HTTP 或 HTTPS 進行基本驗證

                                                                                                                                                    • 僅使用 HTTPS 進行摘要式驗證

                                                                                                                                                  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

                                                                                                                                                  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

                                                                                                                                                  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至 wbx2.comciscospark.com 將解決問題。

                                                                                                                                                  完成混合資料安全性的先決條件

                                                                                                                                                  使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。
                                                                                                                                                  1

                                                                                                                                                  確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。

                                                                                                                                                  2

                                                                                                                                                  為您的 HDS 部署選擇網域名稱(例如, hds.company.com) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。 憑證鏈結必須符合 X.509 憑證需求

                                                                                                                                                  3

                                                                                                                                                  準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求

                                                                                                                                                  4

                                                                                                                                                  根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。

                                                                                                                                                  1. 建立金鑰儲存用的資料庫。 (您必須建立此資料庫 — 不要使用預設資料庫。 HDS 應用程式在安裝後建立資料庫綱要。)

                                                                                                                                                  2. 收集節點將用來與資料庫伺服器通訊的詳細資料:

                                                                                                                                                    • 主持人名稱或IP 位址(host) 和通訊埠

                                                                                                                                                    • 用於金鑰儲存的資料庫名稱 (dbname)

                                                                                                                                                    • 對金鑰儲存資料庫具有所有特權的使用者的使用者名稱和密碼

                                                                                                                                                  5

                                                                                                                                                  為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。

                                                                                                                                                  6

                                                                                                                                                  設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。


                                                                                                                                                   

                                                                                                                                                  因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失該內容的。

                                                                                                                                                  Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。

                                                                                                                                                  8

                                                                                                                                                  請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求

                                                                                                                                                  9

                                                                                                                                                  安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080.

                                                                                                                                                  您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。

                                                                                                                                                  若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求

                                                                                                                                                  10

                                                                                                                                                  如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求

                                                                                                                                                  11

                                                                                                                                                  如果您的組織使用目錄同步,請在Active Directory中建立一個名為 HdsTrialGroup ,並新增試用使用者。 試用群組最多可以有 250 個使用者。 該 HdsTrialGroup 必須將物件同步到雲端,然後才能為組織開始試用服務。 若要同步群組物件,請在 Directory Connector 的 設定>物件選取功能表。 (如需詳細指示,請參閱Cisco目錄連接器的部署指南。 )


                                                                                                                                                   

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。 當使用者的應用程式重新整理其快取的內容副本時,該遺失立即變得明顯。

                                                                                                                                                  設定混合資料安全叢集

                                                                                                                                                  混合資料安全性部署任務流程

                                                                                                                                                  準備工作

                                                                                                                                                  準備您的環境

                                                                                                                                                  1

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  將 OVA 檔案下載到您的本地機器以供稍後使用。

                                                                                                                                                  2

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

                                                                                                                                                  3

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。

                                                                                                                                                  5

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

                                                                                                                                                  6

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。

                                                                                                                                                  7

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

                                                                                                                                                  8

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  完成叢集設定。

                                                                                                                                                  9

                                                                                                                                                  執行試用並移至生產(下一章)

                                                                                                                                                  在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。 您稍後將在安裝過程中使用此檔案。
                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後按一下服務

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定

                                                                                                                                                  如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。


                                                                                                                                                   

                                                                                                                                                  您也可以隨時從說明區段上的設定頁面。 在混合資料安全性卡片上,按一下編輯設定以開啟頁面。 然後,按一下下載「混合資料安全性」軟體說明區段。


                                                                                                                                                   

                                                                                                                                                  較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。 這可能會導致升級應用程式時發生問題。 請確保下載最新版本的 OVA 檔案。

                                                                                                                                                  3

                                                                                                                                                  選取以指示您尚未"安裝;設定"該節點,然後按一下下一個

                                                                                                                                                  OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
                                                                                                                                                  4

                                                                                                                                                  (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。

                                                                                                                                                  為 HDS 主機建立設定ISO

                                                                                                                                                  「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:

                                                                                                                                                    • 資料庫認證

                                                                                                                                                    • 憑證更新

                                                                                                                                                    • 授權原則的變更

                                                                                                                                                  • 如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

                                                                                                                                                  1

                                                                                                                                                  在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2

                                                                                                                                                  若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  在密碼提示中,輸入此雜湊:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  下載適用於您環境的最新穩定映像:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  提取完成後,輸入適用於您環境的指令:

                                                                                                                                                  • 在沒有 Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTPS 代理的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  使用 Web 瀏覽器轉至 本地主機, http://127.0.0.1:8080 ,並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

                                                                                                                                                  此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。

                                                                                                                                                  7

                                                                                                                                                  提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。

                                                                                                                                                  8

                                                                                                                                                  在設定工具概觀頁上,按一下開始使用

                                                                                                                                                  9

                                                                                                                                                  ISO匯入頁面上,您有下列選項:

                                                                                                                                                  • — 如果您要建立第一個 HDS 節點,則您沒有要上傳的ISO檔案。
                                                                                                                                                  • - 如果您已建立 HDS 節點,則您在瀏覽中選取ISO檔案並上傳。
                                                                                                                                                  10

                                                                                                                                                  檢查您的 X.509 憑證是否符合X.509 憑證需求

                                                                                                                                                  • 如果您之前從未上傳過憑證,請上傳 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  • 如果您的憑證確定,請按一下繼續
                                                                                                                                                  • 如果您的憑證已過期或您要取代它,請選取繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎? 。 上傳新的 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  11

                                                                                                                                                  輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區:

                                                                                                                                                  1. 選取您的資料庫類型 PostgresMicrosoft SQL Server )。

                                                                                                                                                    如果您選擇Microsoft SQL Server ,您會獲得一個驗證類型欄位。

                                                                                                                                                  2. Microsoft SQL Server僅))選取您的驗證類型

                                                                                                                                                    • 基本驗證: 您需要一個本機SQL Server帳戶名稱,使用者名稱欄位。

                                                                                                                                                    • Windows 驗證: 您需要一個 Windows 帳戶,格式為 username@DOMAIN使用者名稱欄位。

                                                                                                                                                  3. 在以下表格中輸入資料庫伺服器位址 <hostname>:<port><IP-address>:<port>

                                                                                                                                                    範例:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果節點無法使用DNS來解析主機名稱,您可以使用IP 位址進行基本驗證。

                                                                                                                                                    如果使用的是 Windows 驗證,則必須輸入以下格式的完整網域名稱: dbhost.example.org:1433

                                                                                                                                                  4. 輸入資料庫名稱

                                                                                                                                                  5. 輸入使用者名稱密碼對金鑰儲存資料庫具有所有特權的使用者的權限。

                                                                                                                                                  12

                                                                                                                                                  選取一個TLS資料庫連線模式

                                                                                                                                                  模式

                                                                                                                                                  說明

                                                                                                                                                  偏好使用 TLS (預設選項)

                                                                                                                                                  HDS 節點不需要使用 TLS 連線到資料庫伺服器。 若您在資料庫伺服器上啟用TLS ,節點會嘗試進行加密連線。

                                                                                                                                                  需要 TLS

                                                                                                                                                  僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者


                                                                                                                                                   

                                                                                                                                                  此模式不適用於SQL Server 資料庫。

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者和主機名稱

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。 如果它們不相符,則節點會斷開連線。

                                                                                                                                                  • 節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠欄位。 名稱必須完全相符,否則節點將斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。)

                                                                                                                                                  13

                                                                                                                                                  在系統記錄頁上,設定您的 Syslogd 伺服器:

                                                                                                                                                  1. 輸入 syslog 伺服器URL。

                                                                                                                                                    如果無法從 HDS 叢集的節點DNS伺服器,請在URL中使用IP 位址。

                                                                                                                                                    範例:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
                                                                                                                                                  2. 如果您將伺服器"安裝;設定"為使用TLS加密,請勾選您的 syslog 伺服器是否設定為使用SSL加密?

                                                                                                                                                    如果勾選此勾選方塊,請確保輸入一個TCP URL ,例如 tcp://10.92.43.23:514

                                                                                                                                                  3. 選擇 syslog 記錄終止下拉清單,請為您的ISO檔案選擇適當的設定: 選擇或換行用於 Graylog 和 Rsyslog TCP

                                                                                                                                                    • 空值位元組 -- \x00

                                                                                                                                                    • 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。

                                                                                                                                                  4. 按一下繼續

                                                                                                                                                  14

                                                                                                                                                  (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  按一下繼續位於重設服務帳戶密碼螢幕。

                                                                                                                                                  服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。

                                                                                                                                                  16

                                                                                                                                                  按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。

                                                                                                                                                  17

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。

                                                                                                                                                  確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  18

                                                                                                                                                  若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。


                                                                                                                                                   

                                                                                                                                                  我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  使用此流程可從 OVA 檔案建立虛擬機器。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

                                                                                                                                                  2

                                                                                                                                                  選取檔案>部署 OVF 範本

                                                                                                                                                  3

                                                                                                                                                  在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個

                                                                                                                                                  4

                                                                                                                                                  選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  選取計算資源頁面上,選擇目標計算資源,然後按一下下一個

                                                                                                                                                  執行驗證檢查。 完成後,會出現範本詳細資料。

                                                                                                                                                  6

                                                                                                                                                  驗證範本詳細資料,然後按一下下一個

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個

                                                                                                                                                  8

                                                                                                                                                  選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。

                                                                                                                                                  9

                                                                                                                                                  選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。

                                                                                                                                                  10

                                                                                                                                                  自訂範本頁面,設定下列網路設定:

                                                                                                                                                  • 主機名稱— 輸入節點的 FQDN(主機名稱和網域)或單字主機名稱。

                                                                                                                                                     
                                                                                                                                                    • 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                    • 若要確保成功註冊雲端,請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。 目前不支援大寫。

                                                                                                                                                    • FQDN 的總長度不得超過 64 個字元。

                                                                                                                                                  • IP位址— 輸入節點內部介面的IP 位址。

                                                                                                                                                     

                                                                                                                                                    您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  • 遮罩— 以點十進製表示法輸入子網路遮罩位址。 譬如, 255.255.255.0
                                                                                                                                                  • 閘道—輸入閘道IP 位址。 閘道是用作另一個網路的存取點的網路節點。
                                                                                                                                                  • DNS伺服器— 輸入以逗號分隔的DNS伺服器清單,該伺服器負責將網域名稱轉換為數字IP位址。 (最多允許 4 個DNS項目。)
                                                                                                                                                  • NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。 預設NTP伺服器可能不適用於所有企業。 您還可以使用逗號分隔的清單來輸入多個NTP伺服器。
                                                                                                                                                  • 將所有節點部署在相同的子網路或VLAN上,以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

                                                                                                                                                  如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。


                                                                                                                                                   

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。 該選項在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  在節點VM上按一下滑鼠右鍵,然後選擇電源>開啟電源

                                                                                                                                                  混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。

                                                                                                                                                  疑難排解提示

                                                                                                                                                  在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。

                                                                                                                                                  設定混合資料安全VM

                                                                                                                                                  使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。

                                                                                                                                                  1

                                                                                                                                                  在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。

                                                                                                                                                  VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
                                                                                                                                                  2

                                                                                                                                                  使用以下預設登入和密碼來登入和變更認證:

                                                                                                                                                  1. 登入: admin

                                                                                                                                                  2. 密碼: cisco

                                                                                                                                                  由於您是首次登入VM ,因此您必須變更管理員密碼。

                                                                                                                                                  3

                                                                                                                                                  如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。

                                                                                                                                                  4

                                                                                                                                                  使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。

                                                                                                                                                  5

                                                                                                                                                  (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。

                                                                                                                                                  您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。

                                                                                                                                                  6

                                                                                                                                                  儲存網路組態設定並重新啟動VM以使變更生效。

                                                                                                                                                  上傳並裝載 HDS 設定ISO

                                                                                                                                                  使用此流程可從您使用 HDS 設定工具建立的ISO檔案來設定虛擬機器。

                                                                                                                                                  準備工作

                                                                                                                                                  因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。

                                                                                                                                                  1

                                                                                                                                                  從您的電腦上傳ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,按一下 ESXi 伺服器。

                                                                                                                                                  2. 在組態標籤的硬體清單中,按一下儲存

                                                                                                                                                  3. 在資料儲存區清單中,按右鍵一下 VM 的資料儲存區,然後按一下瀏覽資料儲存區

                                                                                                                                                  4. 按一下上傳檔案圖示,然後按一下上傳檔案

                                                                                                                                                  5. 瀏覽到您在電腦上下載ISO檔案的位置,然後按一下開啟

                                                                                                                                                  6. 按一下接受上傳/下載操作警告,並關閉資料存放區對話。

                                                                                                                                                  2

                                                                                                                                                  裝載ISO檔案:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  2. 按一下確定接受受限編輯選項警告。

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 ,選取從資料儲存區ISO檔案裝載的選項,然後瀏覽到您上傳設定ISO檔案的位置。

                                                                                                                                                  4. 檢查已連線開啟電源時連接

                                                                                                                                                  5. 儲存變更並重新啟動虛擬機器。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

                                                                                                                                                  準備工作

                                                                                                                                                  1

                                                                                                                                                  輸入 HDS 節點設定URL https://[HDS Node IP or FQDN]/setup 在 Web 瀏覽器中,輸入您為節點"安裝;設定"的管理員認證,然後按一下 登入

                                                                                                                                                  2

                                                                                                                                                  轉至信任儲存庫和 Proxy,然後選擇一個選項:

                                                                                                                                                  • 無 Proxy — 整合 Proxy 之前的預設選項。 無需更新憑證。
                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
                                                                                                                                                  • 透通的檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
                                                                                                                                                  • 明確 Proxy — 可使用明確 Proxy 告知用戶端(HDS 節點)使用哪個 Proxy 伺服器,並且此選項支援多種驗證類型。 選擇此選項後,您必須輸入以下資訊:
                                                                                                                                                    1. Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。

                                                                                                                                                    2. Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。

                                                                                                                                                    3. Proxy 通訊協定 — 選擇 http(檢視和控制從用戶端收到的所有請求)或 https(提供通往伺服器的通道,且用戶端接收並驗證伺服器的憑證)。 根據 Proxy 伺服器支援的內容來選擇一個選項。

                                                                                                                                                    4. 驗證類型 — 從以下驗證類型中選擇:

                                                                                                                                                      • — 無需進一步驗證。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                      • 基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅適用於 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                  針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

                                                                                                                                                  3

                                                                                                                                                  按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

                                                                                                                                                  憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

                                                                                                                                                  如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」

                                                                                                                                                  5

                                                                                                                                                  連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

                                                                                                                                                  節點會在幾分鐘內重新啟動。

                                                                                                                                                  7

                                                                                                                                                  節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

                                                                                                                                                  Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

                                                                                                                                                  註冊叢集中的第一個節點

                                                                                                                                                  此工作採用您在設定混合資料安全VM ,向Webex雲端註冊節點,並將其轉換為「混合資料安全性」節點。

                                                                                                                                                  註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  從螢幕左側的功能表中,選取服務

                                                                                                                                                  3

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  出現「註冊混合資料安全節點」頁。
                                                                                                                                                  4

                                                                                                                                                  選取以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。

                                                                                                                                                  我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」

                                                                                                                                                  6

                                                                                                                                                  在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                  此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM

                                                                                                                                                  將出現一則訊息,指出您可以向Webex註冊您的節點。
                                                                                                                                                  7

                                                                                                                                                  按一下移至節點。

                                                                                                                                                  8

                                                                                                                                                  按一下警告訊息中的繼續。

                                                                                                                                                  稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
                                                                                                                                                  9

                                                                                                                                                  檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                  您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  10

                                                                                                                                                  按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  若要向叢集新增其他節點,您只需建立其他 VM 並裝載相同的ISO設定檔案,然後註冊節點。 我們建議您至少有 3 個節點。

                                                                                                                                                   

                                                                                                                                                  目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原

                                                                                                                                                  準備工作

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA

                                                                                                                                                  2

                                                                                                                                                  在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO

                                                                                                                                                  4

                                                                                                                                                  如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。

                                                                                                                                                  5

                                                                                                                                                  註冊節點。

                                                                                                                                                  1. 輸入https://admin.webex.com,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2. 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下資源

                                                                                                                                                    出現「混合資料安全性資源」頁。
                                                                                                                                                  3. 按一下新增資源

                                                                                                                                                  4. 在第一個欄位中,選取現有叢集的名稱。

                                                                                                                                                  5. 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個

                                                                                                                                                    系統將顯示一則訊息,指出您可以將節點註冊到Webex雲端。
                                                                                                                                                  6. 按一下移至節點。

                                                                                                                                                    稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向組織授予權限,以存取您的節點。
                                                                                                                                                  7. 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續

                                                                                                                                                    您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  8. 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下一步

                                                                                                                                                  執行試用並移至生產(下一章)
                                                                                                                                                  執行試用並移至生產

                                                                                                                                                  試用到生產任務流程

                                                                                                                                                  "安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。

                                                                                                                                                  1

                                                                                                                                                  如果適用,請同步 HdsTrialGroup 群組物件。

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能開始試用。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  2

                                                                                                                                                  啟動試用服務

                                                                                                                                                  開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。

                                                                                                                                                  3

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  4

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  檢查狀態,並"安裝;設定"的電子郵件通知。

                                                                                                                                                  5

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  6

                                                                                                                                                  使用下列動作之一完成試用階段:

                                                                                                                                                  啟動試用服務

                                                                                                                                                  準備工作

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup 群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。

                                                                                                                                                  1

                                                                                                                                                  登入https://admin.webex.com,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下開始試用

                                                                                                                                                  服務狀態變更為試用模式。
                                                                                                                                                  4

                                                                                                                                                  按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。

                                                                                                                                                  (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, HdsTrialGroup.)

                                                                                                                                                  測驗您的混合資料安全性部署

                                                                                                                                                  使用此流程來測試「混合資料安全性」加密情境。

                                                                                                                                                  準備工作

                                                                                                                                                  • 設定您的「混合資料安全性」部署。

                                                                                                                                                  • 啟用試用服務,並新增多個試用服務使用者。

                                                                                                                                                  • 請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

                                                                                                                                                  1

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。


                                                                                                                                                   

                                                                                                                                                  如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。

                                                                                                                                                  2

                                                                                                                                                  傳送訊息至新空間。

                                                                                                                                                  3

                                                                                                                                                  檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  1. 若要檢查是否有使用者首先建立通往 KMS 的安全通道,請篩選 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION

                                                                                                                                                    您應該會找到如下所示的項目(為便於閱讀而縮短了標識符):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. 若要檢查是否有使用者從 KMS 請求現有金鑰,請篩選 kms.data.method=retrievekms.data.type=KEY

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 若要檢查是否有使用者請求建立新的 KMS 金鑰,請篩選 kms.data.method=createkms.data.type=KEY_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. 若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO),請篩選 kms.data.method=createkms.data.type=RESOURCE_COLLECTION

                                                                                                                                                    您應該會找到一個類似的項目:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  監控混合資料安全性運行狀況

                                                                                                                                                  Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。 如需更主動的警示,請註冊電子郵件通知。 當發生影響服務的警報或軟體升級時,您將會收到通知。
                                                                                                                                                  1

                                                                                                                                                  輸入Control Hub ,選取服務從螢幕左側的功能表中。

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  隨即顯示混合資料安全性設定頁面。
                                                                                                                                                  3

                                                                                                                                                  在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入

                                                                                                                                                  在試用服務中新增或移除使用者

                                                                                                                                                  在您啟動試用服務並新增初始試用使用者集後,您可以在試用服務有效期間隨時新增或移除試用成員。

                                                                                                                                                  如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。

                                                                                                                                                  如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。

                                                                                                                                                  4

                                                                                                                                                  輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存

                                                                                                                                                  從試用服務移至生產環境

                                                                                                                                                  當您對您的部署適用於試用使用者感到滿意時,可以移至生產。 當您移至生產時,組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。 除非您在災害復原過程中停用該服務,否則您無法從生產環境移回試用模式。 重新啟動服務需要"安裝;設定"新的試用服務。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在服務狀態區段中,按一下移至生產環境

                                                                                                                                                  4

                                                                                                                                                  確認您要將所有使用者移至生產環境。

                                                                                                                                                  在不移至生產的情況下結束試用服務

                                                                                                                                                  如果在試用期間,您決定不繼續部署「混合資料安全性」,您可以停用「混合資料安全性」,這將結束試用服務,並將試用使用者移回雲端資料安全性服務。 試用使用者將失去對試用期間加密的資料的存取權。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在停用區段中,按一下停用

                                                                                                                                                  4

                                                                                                                                                  確認您要停用服務並結束試用服務。

                                                                                                                                                  管理您的 HDS 部署

                                                                                                                                                  管理 HDS 部署

                                                                                                                                                  使用這裡描述的任務來管理您的「混合資料安全性」部署。

                                                                                                                                                  設定叢集升級排程

                                                                                                                                                  混合資料安全性的軟體升級可在叢集層級自動完成,從而確保所有節點始終執行相同的軟體版本。 根據叢集的升級排程來完成升級。 當軟體升級變成可用時,您可以選擇在排定的升級時間之前手動升級叢集。 可以設定特定的升級排程,或者使用預設排程(美國每天凌晨 3:00): 美洲/洛杉磯。 必要時,也可以選擇延遲即將進行的升級。

                                                                                                                                                  若要設定升級排程:

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在概觀頁面上的混合服務下,選取混合資料安全性

                                                                                                                                                  3

                                                                                                                                                  在「混合資料安全性資源」頁上,選取叢集。

                                                                                                                                                  4

                                                                                                                                                  在右側的概觀面板中,在叢集設定下,選取叢集名稱。

                                                                                                                                                  5

                                                                                                                                                  在「設定」頁面上的「升級」下,選取升級排程的時間和時區。

                                                                                                                                                  附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。

                                                                                                                                                  變更節點組態

                                                                                                                                                  偶爾出於如下原因,您可能需要變更混合資料安全節點的設定:
                                                                                                                                                  • 由於到期或其他原因而變更 x.509 憑證。


                                                                                                                                                     

                                                                                                                                                    我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。

                                                                                                                                                  • 更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。


                                                                                                                                                     

                                                                                                                                                    我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。

                                                                                                                                                  • 建立新的設定以準備新的資料中心。

                                                                                                                                                  同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:

                                                                                                                                                  • 軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。

                                                                                                                                                  • 硬重設 — 舊密碼會立即停止作用。

                                                                                                                                                  如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。

                                                                                                                                                  使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

                                                                                                                                                  準備工作

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。

                                                                                                                                                  1

                                                                                                                                                  在本端機器上使用 Docker 來執行「HDS 設定」工具。

                                                                                                                                                  1. 在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    此步驟會清理先前的 HDS 設定工具映像。 如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2. 若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. 在密碼提示中,輸入此雜湊:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. 下載適用於您環境的最新穩定映像:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    確保為此程序擷取最新的「設定」工具。 2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

                                                                                                                                                  5. 提取完成後,輸入適用於您環境的指令:

                                                                                                                                                    • 在沒有 Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6. 使用瀏覽器連線至 本地主機, http://127.0.0.1:8080


                                                                                                                                                     

                                                                                                                                                    設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。 使用http://127.0.0.1:8080以連線至 本地主機。

                                                                                                                                                  7. 提示時,輸入 Control Hub 客戶登入認證,然後按一下接受以繼續作業。

                                                                                                                                                  8. 匯入現行設定 ISO 檔案。

                                                                                                                                                  9. 遵循提示來完成工具並下載更新檔。

                                                                                                                                                    若要關閉安裝工具,請鍵入 CTRL+C

                                                                                                                                                  10. 在其他資料中心中建立已更新檔案的備份副本。

                                                                                                                                                  2

                                                                                                                                                  如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點

                                                                                                                                                  1. 安裝 HDS 主機 OVA。

                                                                                                                                                  2. 設定 HDS 虛擬機器。

                                                                                                                                                  3. 安裝已更新的設定檔案。

                                                                                                                                                  4. 在 Control Hub 中註冊新的節點。

                                                                                                                                                  3

                                                                                                                                                  針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點:

                                                                                                                                                  1. 關閉虛擬機器。

                                                                                                                                                  2. 在 VMware vSphere 用戶端的左側導覽窗格中,用滑鼠右鍵按一下虛擬機器,然後按一下編輯設定

                                                                                                                                                  3. 按一下 CD/DVD Drive 1 ,選取從ISO檔案裝載的選項,然後瀏覽至您下載新設定ISO檔案的位置。

                                                                                                                                                  4. 勾選開啟電源時連線

                                                                                                                                                  5. 儲存變更並開啟虛擬機器的電源。

                                                                                                                                                  4

                                                                                                                                                  重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

                                                                                                                                                  關閉封鎖的外部 DNS 解析模式

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。

                                                                                                                                                  如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

                                                                                                                                                  準備工作

                                                                                                                                                  確保您的內部 DNS 伺服器可以解析公用 DNS 名稱,而且您的節點可以與它們通訊。
                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至概觀(預設頁面)。

                                                                                                                                                  啟用時,封鎖的外部 DNS 解析設定為

                                                                                                                                                  3

                                                                                                                                                  轉至信任儲存庫和 Proxy 頁面。

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。

                                                                                                                                                  下一步

                                                                                                                                                  在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

                                                                                                                                                  移除節點

                                                                                                                                                  使用此流程從Webex雲端移除「混合資料安全性」節點。 從叢集中移除節點後,請刪除虛擬機器以防止進一步存取您的安全性資料。
                                                                                                                                                  1

                                                                                                                                                  使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。

                                                                                                                                                  2

                                                                                                                                                  移除節點:

                                                                                                                                                  1. 登入 Control Hub,然後選取服務

                                                                                                                                                  2. 在混合資料安全性卡片上,按一下檢視全部以顯示「混合資料安全性資源」頁。

                                                                                                                                                  3. 選取您的叢集以顯示其概觀面板。

                                                                                                                                                  4. 按一下開啟節點清單

                                                                                                                                                  5. 在節點標籤上,選取要移除的節點。

                                                                                                                                                  6. 按一下動作>取消註冊節點

                                                                                                                                                  3

                                                                                                                                                  在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。)

                                                                                                                                                  如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。

                                                                                                                                                  使用待機資料中心進行災害復原

                                                                                                                                                  混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。

                                                                                                                                                  因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:

                                                                                                                                                  若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定頁面,在下面新增設定或移除 passiveMode 配置以使節點處於活動狀態。 進行此設定後,節點即可處理流量。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。


                                                                                                                                                   

                                                                                                                                                  確保已連線開啟電源時連接會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。


                                                                                                                                                   

                                                                                                                                                  檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。 「KMS 已設定為被動模式」不應出現在系統記錄中。

                                                                                                                                                  下一步

                                                                                                                                                  在容錯移轉後,如果主資料中心再次變為活躍狀態,請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原

                                                                                                                                                  (可選)在 HDS 配置後解除掛載ISO

                                                                                                                                                  標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

                                                                                                                                                  您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。

                                                                                                                                                  準備工作

                                                                                                                                                  將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

                                                                                                                                                  1

                                                                                                                                                  關閉其中一個 HDS 節點。

                                                                                                                                                  2

                                                                                                                                                  在 vCenter Server Appliance 中,選取 HDS 節點。

                                                                                                                                                  3

                                                                                                                                                  選擇編輯設定> CD/ DVD驅動器並取消選取資料儲存區ISO檔案

                                                                                                                                                  4

                                                                                                                                                  開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。

                                                                                                                                                  5

                                                                                                                                                  依次為每個 HDS 節點重複此操作。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  檢視警示和疑難排解

                                                                                                                                                  如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:

                                                                                                                                                  • 無法建立新空間(無法建立新鍵)

                                                                                                                                                  • 訊息和空間標題無法解密:

                                                                                                                                                    • 新使用者新增至空間(無法擷取金鑰)

                                                                                                                                                    • 使用新用戶端的空間中的現有使用者(無法擷取金鑰)

                                                                                                                                                  • 空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取

                                                                                                                                                  請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

                                                                                                                                                  警示

                                                                                                                                                  如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。

                                                                                                                                                  表 1. 常見問題及解決問題的步驟

                                                                                                                                                  警示

                                                                                                                                                  動作

                                                                                                                                                  本端資料庫存取失敗。

                                                                                                                                                  檢查是否存在資料庫錯誤或本地網路問題。

                                                                                                                                                  本機資料庫連線失敗。

                                                                                                                                                  檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。

                                                                                                                                                  存取雲端服務失敗。

                                                                                                                                                  檢查節點是否可以存取中指定的Webex伺服器外部連線需求

                                                                                                                                                  正在更新雲端服務註冊。

                                                                                                                                                  已刪除對雲端服務的註冊。 進行中重新註冊註冊。

                                                                                                                                                  雲端服務註冊已刪除。

                                                                                                                                                  向雲端服務的註冊已終止。 服務正在關閉。

                                                                                                                                                  服務尚未啟動。

                                                                                                                                                  啟用試用服務,或完成將試用服務移至生產環境。

                                                                                                                                                  設定的網域與伺服器憑證不相符。

                                                                                                                                                  請確保您的伺服器憑證符合設定的服務啟動網域。

                                                                                                                                                  最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。

                                                                                                                                                  無法針對雲端服務進行驗證。

                                                                                                                                                  檢查服務帳戶認證的準確性及是否可能過期。

                                                                                                                                                  無法開啟本機金鑰儲存區檔案。

                                                                                                                                                  檢查本機金鑰存放區檔案的完整性和密碼準確度。

                                                                                                                                                  本機伺服器憑證無效。

                                                                                                                                                  檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。

                                                                                                                                                  無法公佈指標。

                                                                                                                                                  檢查對外部雲端服務的本地網路存取。

                                                                                                                                                  /media/configDrive/hds 目錄不存在。

                                                                                                                                                  檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  當對混合資料安全性問題進行疑難排解時,請使用以下一般準則。
                                                                                                                                                  1

                                                                                                                                                  複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。

                                                                                                                                                  2

                                                                                                                                                  複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。

                                                                                                                                                  3

                                                                                                                                                  聯絡Cisco 支援

                                                                                                                                                  其他附註

                                                                                                                                                  混合資料安全性的已知問題

                                                                                                                                                  • 如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。

                                                                                                                                                  • 與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。

                                                                                                                                                    當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。

                                                                                                                                                  使用 OpenSSL 產生 PKCS12 檔案

                                                                                                                                                  準備工作

                                                                                                                                                  • OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。

                                                                                                                                                  • 如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。

                                                                                                                                                  • 在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。

                                                                                                                                                  • 建立私密金鑰。

                                                                                                                                                  • 當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。

                                                                                                                                                  1

                                                                                                                                                  當您從 CA 收到伺服器憑證時,將其另存為 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  將憑證顯示為文字,並驗證詳細資料。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文字編輯器建立一個名為 hdsnode-bundle.pem 。 組合檔案必須包含伺服器憑證、任何中間 CA 憑證及根 CA 憑證,格式如下:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  使用易記名稱建立 .p12 檔案 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  檢查伺服器憑證詳細資料。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 在提示時輸入密碼以加密私密金鑰,使其在輸出中列出。 然後,驗證私密金鑰和第一個憑證是否包含以下行 friendlyName: kms-private-key

                                                                                                                                                    範例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  下一步

                                                                                                                                                  返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12 檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO


                                                                                                                                                   

                                                                                                                                                  當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。

                                                                                                                                                  HDS 節點與雲端之間的流量

                                                                                                                                                  輸出指標收集流量

                                                                                                                                                  混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。

                                                                                                                                                  入埠流量

                                                                                                                                                  混合資料安全性節點從Webex雲端接收以下類型的入埠流量:

                                                                                                                                                  • 來自用戶端的加密請求,由加密服務路由

                                                                                                                                                  • 升級至節點軟體

                                                                                                                                                  設定 Squid Proxy 以實現混合資料安全

                                                                                                                                                  Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss: 流量,從而確保服務正確運作。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  新增 on_unsupported_protocol 指示為 squid.conf

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf 。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  前言

                                                                                                                                                  新的和變更的資訊

                                                                                                                                                  日期

                                                                                                                                                  進行的變更

                                                                                                                                                  2023 年 10 月 20 日

                                                                                                                                                  2023 年 8 月 7 日

                                                                                                                                                  2023 年 5 月 23 日

                                                                                                                                                  2022 年 12 月 6 日

                                                                                                                                                  2022 年 11 月 23 日

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。請參閱Docker 桌面需求

                                                                                                                                                  2021 年 6 月 24 日

                                                                                                                                                  注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案 獲取詳細資訊。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求 獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO 獲取詳細資訊。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。

                                                                                                                                                  2021 年 1 月 11 日

                                                                                                                                                  新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO

                                                                                                                                                  2020 年 10 月 13 日

                                                                                                                                                  已更新下載安裝檔案

                                                                                                                                                  2020 年 10 月 8 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態 用於 FedRAMP 環境的指令。

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO變更節點組態 登入程序變更。

                                                                                                                                                  2020 年 8 月 5 日

                                                                                                                                                  已更新測驗您的混合資料安全性部署 了解記錄訊息中的變更。

                                                                                                                                                  已更新虛擬主機需求 以移除數目上限的主機。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  已更新移除節點 了解 Control Hub UI 中的變更。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO 了解您可能設定的「進階設定」中的變更。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  已更新為 HDS 主機建立設定ISO 來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  已更新虛擬主機需求 以顯示 ESXi 6.5 的新需求。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  已更新外部連線需求 與新的美洲 CI 主機搭配。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  已更新外部連線需求 包含有關區域 CI 主機的資訊。

                                                                                                                                                  2020 年 2 月 20 日已更新為 HDS 主機建立設定ISO 包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。
                                                                                                                                                  2020年2月4日已更新Proxy 伺服器需求
                                                                                                                                                  2019 年 12 月 16 日明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  在以下章節中新增了有關已封鎖外部DNS解析模式的資訊:

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。

                                                                                                                                                  已相應地更新了下列章節:

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

                                                                                                                                                  2019 年 9 月 6 日

                                                                                                                                                  新增SQL Server Standard 至資料庫伺服器需求

                                                                                                                                                  2019 年 8 月 29 日新增設定 Squid Proxy 以實現混合資料安全性 附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。

                                                                                                                                                  若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援 說明文章。

                                                                                                                                                  2019 年 6 月 13 日已更新試用到生產任務流程 提醒您同步Hds試用群組 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。
                                                                                                                                                  2019 年 3 月 6 日
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • 已將準備成為混合資料安全節點的虛擬主機時應留出的每部伺服器的本機硬碟空間量從 50 GB 修正為 20 GB,以反映 OVA 建立的磁碟大小。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • 混合資料安全性節點現在支援與 PostgreSQL 資料庫伺服器的加密連線,以及與具有TLS功能的 syslog 伺服器的加密記錄連線。已更新為 HDS 主機建立設定ISO 並附有指示。

                                                                                                                                                  • 從「混合資料安全節點 VM 的網際網路連線需求」表格中移除了目標 URL。表格現在引用了在下列情況下維護的Webex: Webex Teams 服務的網路要求

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • 混合資料安全性現在支援將Microsoft SQL Server 作為資料庫。混合資料安全性中使用的 JDBC 驅動程式支援SQL Server永遠開啟(永遠開啟故障轉移叢集和始終開啟可用性群組)。新增了與使用SQL Server 進行部署相關的內容。

                                                                                                                                                    Microsoft SQL Server 支援僅適用於新的「混合資料安全」部署。目前不支援在現有部署中將資料從 PostgreSQL 移轉至 Microsoft SQL Server。

                                                                                                                                                  2018 年 11 月 5 日
                                                                                                                                                  2018 年 10 月 19 日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018 年 5 月 21 日

                                                                                                                                                  變更了術語以反映Cisco Spark的品牌更名:

                                                                                                                                                  • Cisco Spark混合資料安全性現已更名為混合資料安全性。

                                                                                                                                                  • Cisco Spark應用程式現在更名為Webex App 應用程式。

                                                                                                                                                  • Cisco Collaboration Cloud 現已更名為Webex Cloud。

                                                                                                                                                  2018 年 4 月 11 日
                                                                                                                                                  2018 年 2 月 22 日
                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509 憑證需求表格中,指定憑證不能是通配憑證,且 KMS 使用 CN 網域而不是定義在 x.509v3 SAN 欄位中的任何網域。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017 年 11 月 2 日

                                                                                                                                                  • 闡述了 HdsTrialGroup 的目錄同步。

                                                                                                                                                  • 修正了上傳 ISO 設定檔以便裝載至 VM 節點的指示。

                                                                                                                                                  2017 年 8 月 18 日

                                                                                                                                                  第一次發佈

                                                                                                                                                  混合資料安全性入門

                                                                                                                                                  混合資料安全性概觀

                                                                                                                                                  從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。

                                                                                                                                                  預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。

                                                                                                                                                  安全領域架構

                                                                                                                                                  Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。

                                                                                                                                                  分離領域(無混合資料安全性)

                                                                                                                                                  為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。

                                                                                                                                                  在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:

                                                                                                                                                  1. 用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。

                                                                                                                                                  2. 訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。

                                                                                                                                                  3. 加密的訊息會傳送至相符性服務進行相符性檢查。

                                                                                                                                                  4. 加密的訊息儲存在儲存領域中。

                                                                                                                                                  部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。

                                                                                                                                                  與其他組織協作

                                                                                                                                                  您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。

                                                                                                                                                  在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。請參閱準備環境 有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。

                                                                                                                                                  部署混合資料安全性的意外狀況

                                                                                                                                                  高階設定程序

                                                                                                                                                  此文件涵蓋「混合資料安全性」部署的設定和管理:

                                                                                                                                                  • 設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。

                                                                                                                                                    接下來的三章將詳細涵蓋設定、試用和生產階段。

                                                                                                                                                  • 維護您的混合資料安全性部署— Webex雲端自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。

                                                                                                                                                  • 了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。

                                                                                                                                                  混合資料安全性部署模型

                                                                                                                                                  在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。

                                                                                                                                                  在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。(您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)

                                                                                                                                                  混合資料安全性部署模型

                                                                                                                                                  叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。( Webex雲端一次僅升級一個節點。)

                                                                                                                                                  叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。

                                                                                                                                                  當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。

                                                                                                                                                  我們只支援每個組織一個叢集。

                                                                                                                                                  混合資料安全性試用模式

                                                                                                                                                  在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。您的其他使用者繼續使用雲端安全領域。

                                                                                                                                                  如果您決定在試用期間不繼續進行部署並停用服務,則試驗使用者以及在試用期間透過建立新空間與之互動的任何使用者都將無法存取訊息和內容。他們將在Webex應用程式中看到「無法解密此訊息」。

                                                                                                                                                  如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。試驗使用者繼續擁有試用期間所使用金鑰的存取權。但是,您無法在正式作業模式與原始試用模式之間來回切換。如果必須停用服務(例如以便執行嚴重損壞復原),則在重新啟動時,您必須啟動新的試用版並設定新試用版的試驗使用者集,然後才能移回正式作業模式。使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。

                                                                                                                                                  用於災害復原的備用資料中心

                                                                                                                                                  在部署期間,您"安裝;設定"安全待命資料中心。如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。

                                                                                                                                                  在故障轉移之前,資料中心 A 具有作用中的 HDS 節點以及主 PostgreSQL 或Microsoft SQL Server 資料庫,而 B 具有ISO檔案的副本,其中包含其他設定、已向組織註冊的 VM 以及備用資料庫。故障轉移後,資料中心 B 具有作用中的 HDS 節點和主資料庫,而 A 具有未註冊的 VM 和ISO檔案的副本,且資料庫處於待機模式。
                                                                                                                                                  手動故障轉換至備用資料中心

                                                                                                                                                  作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。

                                                                                                                                                  作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。

                                                                                                                                                  設定備用資料中心以進行災害復原

                                                                                                                                                  請遵循下列步驟來設定備用資料中心的ISO檔案:

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定 頁面,請在下面新增設定以將節點設定為被動模式。在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。

                                                                                                                                                   被動模式:「真」 

                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。

                                                                                                                                                  確保已連線開啟電源時連接 會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。

                                                                                                                                                  檢查 syslog 以驗證節點是否處於被動模式。您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。

                                                                                                                                                  設定後被動模式 在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需被動模式 設定,並將其儲存在安全位置。此ISO檔案副本不含被動模式 已設定可協助災害復原期間的快速容錯移轉過程。請參閱使用待機資料中心進行災害復原 如需詳細的容錯移轉程序,

                                                                                                                                                  Proxy 支援

                                                                                                                                                  混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。

                                                                                                                                                  混合資料安全節點支援以下 Proxy 選項:

                                                                                                                                                  • 無 Proxy — 如果您不使用 HDS 節點設定信任儲存和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。

                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址,因此不需要任何變更即可與非檢查 Proxy 搭配使用。無需更新憑證。

                                                                                                                                                  • 透通的通道或檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。

                                                                                                                                                  • 明確的 Proxy - 透過明確的 Proxy,您可以告知 HDS 節點使用哪個代理伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:

                                                                                                                                                    1. Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。

                                                                                                                                                    2. Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。

                                                                                                                                                    3. Proxy 通訊協定— 根據您的代理伺服器支援的內容,在下列協議之間選擇:

                                                                                                                                                      • HTTP — 檢視並控制用戶端傳送的所有請求。

                                                                                                                                                      • HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。

                                                                                                                                                    4. 驗證類型- 從以下驗證類型中選擇:

                                                                                                                                                      • — 不需要進一步的驗證。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                      • 基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。

                                                                                                                                                        如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。

                                                                                                                                                        要求您在每個節點上輸入使用者名稱和密碼。

                                                                                                                                                  混合資料安全節點和 Proxy 的範例

                                                                                                                                                  此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。

                                                                                                                                                  已封鎖外部 DNS 解析模式(明確 Proxy 設定)

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。

                                                                                                                                                  準備您的環境

                                                                                                                                                  混合資料安全性的需求

                                                                                                                                                  Cisco Webex授權需求

                                                                                                                                                  若要部署混合資料安全性:

                                                                                                                                                  Docker 桌面需求

                                                                                                                                                  安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模式。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。

                                                                                                                                                  X.509 憑證需求

                                                                                                                                                  憑證鏈必須符合下列需求:

                                                                                                                                                  表 1. 混合資料安全性部署的 X.509 憑證需求

                                                                                                                                                  需求

                                                                                                                                                  詳細資訊

                                                                                                                                                  • 已由信任憑證授權單位 (CA) 簽署

                                                                                                                                                  依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs

                                                                                                                                                  • 帶有可識別您的「混合資料安全性」部署的通用名稱 (CN)網域名稱

                                                                                                                                                  • 不是通配憑證

                                                                                                                                                  CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如,hds.company.com

                                                                                                                                                  CN 不能包含 *(萬用字元)。

                                                                                                                                                  CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。

                                                                                                                                                  使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。請選擇可同時套用於試用部署及正式作業部署的網域。

                                                                                                                                                  • 非 SHA1 簽章

                                                                                                                                                  KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。

                                                                                                                                                  • 格式為受密碼保護的 PKCS #12 檔

                                                                                                                                                  • 使用 kms-private-key 的易記名稱來標記要上傳的憑證、私密金鑰以及任何中間憑證。

                                                                                                                                                  可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。

                                                                                                                                                  您在執行「HDS 設定工具」時必須輸入密碼。

                                                                                                                                                  KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。

                                                                                                                                                  虛擬主機需求

                                                                                                                                                  您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:

                                                                                                                                                  • 至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心

                                                                                                                                                  • VMware ESXi 6.5(或更高版本)已安裝且正在執行。

                                                                                                                                                    如果您具有較舊的 ESXi 版本,則必須升級。

                                                                                                                                                  • 每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間

                                                                                                                                                  資料庫伺服器需求

                                                                                                                                                  建立金鑰儲存的新資料庫。請不要使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。

                                                                                                                                                  資料庫伺服器有兩個選項。每個項目的需求如下:

                                                                                                                                                  表 2. 依資料庫類型排列資料庫伺服器需求

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • 已安裝且正在執行 PostgreSQL 14、15 或 16。

                                                                                                                                                  • 已安裝SQL Server 2016、2017 或 2019(企業版或標準版)。

                                                                                                                                                    SQL Server 2016 需要 Service Pack 2 和累積更新 2 或更高版本。

                                                                                                                                                  最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB)

                                                                                                                                                  最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB)

                                                                                                                                                  HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:

                                                                                                                                                  Postgres

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC 驅動程式 42.2.5

                                                                                                                                                  SQL Server JDBC 驅動程式 4.6

                                                                                                                                                  此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例AlwaysOn 可用性群組)。

                                                                                                                                                  針對Microsoft SQL Server 的 Windows 驗證的其他需求

                                                                                                                                                  如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:

                                                                                                                                                  • HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。

                                                                                                                                                  • 您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。

                                                                                                                                                  • 您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。

                                                                                                                                                  • 您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱

                                                                                                                                                    HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。

                                                                                                                                                  外部連線需求

                                                                                                                                                  設定您的防火牆,以允許 HDS 應用程式進行以下連線:

                                                                                                                                                  應用程式

                                                                                                                                                  通訊協定

                                                                                                                                                  來自應用程式的方向

                                                                                                                                                  目標

                                                                                                                                                  混合資料安全節點

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  外撥 HTTPS 和 WSS

                                                                                                                                                  • Webex伺服器:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • 中針對混合資料安全性列出的其他 URL: Webex Hybrid Services 的其他 URL 的表格Webex服務的網路要求

                                                                                                                                                  HDS 設定工具

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  出埠 HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • 所有通用身份識別主持人

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。

                                                                                                                                                  通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機:

                                                                                                                                                  區域

                                                                                                                                                  通用身份識別主持人 URL

                                                                                                                                                  美洲

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  歐盟

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  加拿大

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Proxy 伺服器要求

                                                                                                                                                  • 我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。

                                                                                                                                                    • 透通 Proxy — Cisco 網路安全設備 (WSA)。

                                                                                                                                                    • 明確 Proxy — Squid。

                                                                                                                                                      檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性

                                                                                                                                                  • 我們支援明確 Proxy 的以下驗證類型組合:

                                                                                                                                                    • 不使用 HTTP 或 HTTPS 進行驗證

                                                                                                                                                    • 使用 HTTP 或 HTTPS 進行基本驗證

                                                                                                                                                    • 僅使用 HTTPS 進行摘要式驗證

                                                                                                                                                  • 對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。

                                                                                                                                                  • 必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。

                                                                                                                                                  • 檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向 wbx2.comciscospark.com 的流量可以解決問題。

                                                                                                                                                  完成「混合資料安全性」的必要條件

                                                                                                                                                  使用此核對清單可確保您已準備好安裝和設定您的「混合資料安全性」叢集。
                                                                                                                                                  1

                                                                                                                                                  確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。

                                                                                                                                                  2

                                                                                                                                                  為您的 HDS 部署選擇網域名稱(例如, hds.company.com ) 並取得包含 X.509 憑證、私密金鑰及任何中間憑證的憑證鏈結。憑證鏈結必須符合X.509 憑證需求

                                                                                                                                                  3

                                                                                                                                                  準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求

                                                                                                                                                  4

                                                                                                                                                  根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。

                                                                                                                                                  1. 建立金鑰儲存用的資料庫。(您必須建立此資料庫 — 不要使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。)

                                                                                                                                                  2. 收集節點將用來與資料庫伺服器通訊的詳細資料:

                                                                                                                                                    • 主機名稱或 IP 位址(主機)及埠

                                                                                                                                                    • 用來儲存金鑰的資料庫名稱 (dbname)

                                                                                                                                                    • 在金鑰儲存資料庫上具備所有專用權的使用者的使用者名稱和密碼

                                                                                                                                                  5

                                                                                                                                                  為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。

                                                                                                                                                  6

                                                                                                                                                  設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。

                                                                                                                                                  因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失 該內容的。

                                                                                                                                                  Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。

                                                                                                                                                  8

                                                                                                                                                  請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求

                                                                                                                                                  9

                                                                                                                                                  安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統:http://127.0.0.1:8080.

                                                                                                                                                  您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。您的組織可能需要 Docker 桌面授權。請參閱Docker 桌面需求 獲取更多資訊。

                                                                                                                                                  若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求

                                                                                                                                                  10

                                                                                                                                                  如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求

                                                                                                                                                  11

                                                                                                                                                  如果您的組織使用目錄同步,請在 Active Directory 中建立一個名為 HdsTrialGroup 的群組,然後新增試驗使用者。試用群組最多可以有 250 個使用者。HdsTrialGroup 物件必須先同步至雲端,然後您才能夠為組織啟動試用版。若要同步群組物件,請在 Directory Connector 的設定 >物件選取 功能表。(如需詳細指示,請參閱Cisco目錄連接器的部署指南。 )

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。只要使用者的應用程式重新整理其快取的內容副本,該損失就會變得很明顯。

                                                                                                                                                  設定混合資料安全性叢集

                                                                                                                                                  混合資料安全性部署任務流程

                                                                                                                                                  開始之前

                                                                                                                                                  準備您的環境

                                                                                                                                                  1

                                                                                                                                                  執行初始"安裝;設定"並下載安裝檔案

                                                                                                                                                  將 OVA 檔案下載到您的本地機器以供稍後使用。

                                                                                                                                                  2

                                                                                                                                                  為 HDS 主機建立設定 ISO

                                                                                                                                                  使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。

                                                                                                                                                  3

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

                                                                                                                                                  4

                                                                                                                                                  設定混合資料安全性 VM

                                                                                                                                                  登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點,請網路設定。

                                                                                                                                                  5

                                                                                                                                                  上傳及裝載 HDS 設定 ISO

                                                                                                                                                  從您使用 HDS 設定工具建立的ISO組態檔設定VM 。

                                                                                                                                                  6

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。

                                                                                                                                                  7

                                                                                                                                                  在叢集中註冊第一個節點

                                                                                                                                                  將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。

                                                                                                                                                  8

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  完成叢集設定。

                                                                                                                                                  9

                                                                                                                                                  執行試用並移至生產 (下一章)

                                                                                                                                                  在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下載安裝檔案

                                                                                                                                                  在此工作中,您將 OVA 檔案下載至您的機器(而不是下載至您"安裝;設定"為「混合資料安全性」節點的伺服器)。可在安裝過程中稍後使用此檔案。
                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com,然後按一下服務

                                                                                                                                                  2

                                                                                                                                                  在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定

                                                                                                                                                  如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。若要尋找帳號,請按一下右上方位於您組織名稱旁邊的齒輪。

                                                                                                                                                  您也可以隨時從說明 區段上的設定 頁面。在混合資料安全性卡片上,按一下編輯設定 以開啟頁面。然後,按一下下載「混合資料安全性」軟體說明 區段。

                                                                                                                                                  較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。

                                                                                                                                                  3

                                                                                                                                                  選取 以指示您尚未"安裝;設定"該節點,然後按一下下一個

                                                                                                                                                  OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
                                                                                                                                                  4

                                                                                                                                                  (可選)按一下開啟部署指南 以檢查是否有本指南可用的較新版本。

                                                                                                                                                  為 HDS 主機建立設定 ISO

                                                                                                                                                  「混合資料安全性」設定過程會建立ISO檔案。然後,您可以使用ISO來設定您的「混合資料安全性」主機。

                                                                                                                                                  在開始之前

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠

                                                                                                                                                  • 您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時,都需要此檔案的最新副本:

                                                                                                                                                    • 資料庫認證

                                                                                                                                                    • 憑證更新

                                                                                                                                                    • 授權原則的變更

                                                                                                                                                  • 如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。

                                                                                                                                                  1

                                                                                                                                                  在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  Docker rmi ciscocitg/hds 設定:穩定版

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2

                                                                                                                                                  若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                  Docker 登入 -u HDs客戶羅
                                                                                                                                                  3

                                                                                                                                                  在密碼提示中,輸入此雜湊:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6RokvKUIo
                                                                                                                                                  4

                                                                                                                                                  下載適用於您環境的最新穩定映像:

                                                                                                                                                  在一般環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  在 FedRAMP 環境中:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  提取完成後,輸入適用於您環境的指令:

                                                                                                                                                  • 在沒有 Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e 全球_代理_HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在具有 HTTPS 代理的一般環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e 全球_代理_HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e 全球_代理_HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e 全球_代理_HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6

                                                                                                                                                  設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 本地主機。

                                                                                                                                                  使用 Web 瀏覽器轉至 本地主機,http://127.0.0.1:8080 ,並在提示時輸入 Control Hub 的客戶管理員使用者名稱。

                                                                                                                                                  此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後,此工具會顯示標準登入提示。

                                                                                                                                                  7

                                                                                                                                                  提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。

                                                                                                                                                  8

                                                                                                                                                  在「設定工具」概觀頁面上,按一下入門

                                                                                                                                                  9

                                                                                                                                                  ISO匯入 頁面上,您有下列選項:

                                                                                                                                                  • — 如果您要建立第一個 HDS 節點,則您沒有要上傳的ISO檔案。
                                                                                                                                                  • - 如果您已建立 HDS 節點,則您在瀏覽中選取ISO檔案並上傳。
                                                                                                                                                  10

                                                                                                                                                  檢查您的 X.509 憑證是否符合X.509 憑證需求

                                                                                                                                                  • 如果您之前從未上傳過憑證,請上傳 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  • 如果您的憑證確定,請按一下繼續
                                                                                                                                                  • 如果您的憑證已過期或您要取代它,請選取繼續使用先前ISO中的 HDS憑證鏈結和私密金鑰嗎? 。上傳新的 X.509 憑證,輸入密碼,然後按一下繼續
                                                                                                                                                  11

                                                                                                                                                  輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區:

                                                                                                                                                  1. 選取您的資料庫類型 PostgresMicrosoft SQL Server )。

                                                                                                                                                    如果您選擇Microsoft SQL Server ,您會獲得一個驗證類型欄位。

                                                                                                                                                  2. Microsoft SQL Server 僅))選取您的驗證類型

                                                                                                                                                    • 基本驗證:您需要一個本機SQL Server帳戶名稱,使用者名稱 欄位。

                                                                                                                                                    • Windows 驗證:您需要一個 Windows 帳戶,格式為使用者名稱@網域使用者名稱 欄位。

                                                                                                                                                  3. 在以下表格中輸入資料庫伺服器位址

                                                                                                                                                    範例:
                                                                                                                                                    dbhost.example.org:1433198.51.100.17:1433

                                                                                                                                                    如果節點無法使用DNS來解析主機名稱,您可以使用IP 位址進行基本驗證。

                                                                                                                                                    如果使用的是 Windows 驗證,則必須輸入以下格式的完整網域名稱: dbhost.example.org:1433

                                                                                                                                                  4. 輸入資料庫名稱

                                                                                                                                                  5. 輸入使用者名稱密碼 對金鑰儲存資料庫具有所有特權的使用者的權限。

                                                                                                                                                  12

                                                                                                                                                  選取一個TLS資料庫連線模式

                                                                                                                                                  模式

                                                                                                                                                  說明

                                                                                                                                                  偏好TLS (預設選項)

                                                                                                                                                  HDS 節點不需要使用 TLS 連線到資料庫伺服器。若您在資料庫伺服器上啟用TLS ,節點會嘗試進行加密連線。

                                                                                                                                                  需要 TLS

                                                                                                                                                  僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者

                                                                                                                                                  此模式不適用於SQL Server 資料庫。

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符,則節點會斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  需要 TLS 並驗證憑證簽署者和主機名稱

                                                                                                                                                  • 僅當資料庫伺服器可以交涉 TLS 時,HDS 節點才會連接。

                                                                                                                                                  • 建立TLS連線後,節點將來自資料庫伺服器的憑證簽署者與資料庫中的憑證授權機構進行比較。資料庫根憑證。如果它們不相符,則節點會斷開連線。

                                                                                                                                                  • 節點還會驗證伺服器憑證中的主機名稱是否符合資料庫主機和通訊埠 欄位。名稱必須完全相符,否則節點將斷開連線。

                                                                                                                                                  使用下拉清單下方的資料庫根憑證控制項上傳此選項的根憑證。

                                                                                                                                                  當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。)

                                                                                                                                                  13

                                                                                                                                                  在系統記錄頁上,設定您的 Syslogd 伺服器:

                                                                                                                                                  1. 輸入 syslog 伺服器URL。

                                                                                                                                                    如果無法從 HDS 叢集的節點DNS伺服器,請在URL中使用IP 位址。

                                                                                                                                                    範例:
                                                                                                                                                    udp://10.92.43.23:514 表示在UDP連接埠 514 上記錄到 Syslogd 主機 10.92.43.23。
                                                                                                                                                  2. 如果您將伺服器"安裝;設定"為使用TLS加密,請勾選您的 syslog 伺服器是否設定為使用SSL加密?

                                                                                                                                                    如果勾選此勾選方塊,請確保輸入一個TCP URL ,例如tcp://10.92.43.23:514

                                                                                                                                                  3. 選擇 syslog 記錄終止 下拉清單,請為您的ISO檔案選擇適當的設定:選擇或換行用於 Graylog 和 Rsyslog TCP

                                                                                                                                                    • 空值位元組 -- \x00

                                                                                                                                                    • 換行 -- \n - 為 Graylog 和 Rsyslog TCP選取此選項。

                                                                                                                                                  4. 按一下繼續

                                                                                                                                                  14

                                                                                                                                                  (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。一般而言,您可能只需要變更此參數:

                                                                                                                                                  app_datasource_connection_pool_max大小:10
                                                                                                                                                  15

                                                                                                                                                  按一下繼續 位於重設服務帳戶密碼 螢幕。

                                                                                                                                                  服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。

                                                                                                                                                  16

                                                                                                                                                  按一下下載 ISO 檔。將檔案儲存在易於尋找的位置。

                                                                                                                                                  17

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。

                                                                                                                                                  確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  18

                                                                                                                                                  若要關閉設定工具,請按 CTRL+C

                                                                                                                                                  下一步

                                                                                                                                                  備份設定 ISO 檔。您需要它來建立更多節點用於復原,或進行組態變更。如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。

                                                                                                                                                  我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。

                                                                                                                                                  安裝 HDS 主機 OVA

                                                                                                                                                  使用此程序從 OVA 檔建立虛擬機器。
                                                                                                                                                  1

                                                                                                                                                  使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。

                                                                                                                                                  2

                                                                                                                                                  選取檔案>部署 OVF 範本

                                                                                                                                                  3

                                                                                                                                                  在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個

                                                                                                                                                  4

                                                                                                                                                  選取名稱和資料夾 頁面上,輸入虛擬機器名稱 用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個

                                                                                                                                                  5

                                                                                                                                                  選取計算資源 頁面上,選擇目標計算資源,然後按一下下一個

                                                                                                                                                  執行驗證檢查。完成後,會出現範本詳細資料。

                                                                                                                                                  6

                                                                                                                                                  驗證範本詳細資料,然後按一下下一個

                                                                                                                                                  7

                                                                                                                                                  如果您被要求在設定 頁面,按一下4 個CPU 然後按一下下一個

                                                                                                                                                  8

                                                                                                                                                  選取儲存空間 頁面,按一下下一個 接受預設磁碟格式和VM儲存原則。

                                                                                                                                                  9

                                                                                                                                                  選取網路 頁面上,從項目清單中選擇網路選項以提供所需的VM連線。

                                                                                                                                                  10

                                                                                                                                                  自訂範本 頁面,設定下列網路設定:

                                                                                                                                                  • 主機名稱— 輸入節點的 FQDN(主機名稱和網域)或單字主機名稱。
                                                                                                                                                    • 您不需要設定網域來符合用來取得 X.509 憑證的網域。

                                                                                                                                                    • 若要確保成功註冊雲端,請在您為節點設定的 FQDN 或主機名稱中僅使用小寫字元。目前不支援大寫。

                                                                                                                                                    • FQDN 的總長度不得超過 64 個字元。

                                                                                                                                                  • IP位址— 輸入節點內部介面的IP 位址。

                                                                                                                                                    您的節點應該具有內部 IP 位址及 DNS 名稱。不支援DHCP 。

                                                                                                                                                  • 遮罩— 以點十進製表示法輸入子網路遮罩位址。譬如, 255.255.255.0
                                                                                                                                                  • 閘道—輸入閘道IP 位址。閘道是用作另一個網路的存取點的網路節點。
                                                                                                                                                  • DNS伺服器— 輸入以逗號分隔的DNS伺服器清單,該伺服器負責將網域名稱轉換為數字IP位址。(最多允許 4 個DNS項目。)
                                                                                                                                                  • NTP伺服器— 輸入您組織的NTP 伺服器或另一個可在您的組織中使用的外部NTP 伺服器。預設NTP伺服器可能不適用於所有企業。您還可以使用逗號分隔的清單來輸入多個NTP伺服器。
                                                                                                                                                  • 將所有節點部署在相同的子網路或VLAN上,以便可以從網路中的用戶端訪問叢集中的所有節點以進行管理。

                                                                                                                                                  如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM 以從節點主控台配置設定。

                                                                                                                                                  在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。

                                                                                                                                                  11

                                                                                                                                                  在節點VM上按一下滑鼠右鍵,然後選擇電源 >開啟電源

                                                                                                                                                  混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。

                                                                                                                                                  疑難排解提示

                                                                                                                                                  在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。

                                                                                                                                                  設定混合資料安全性 VM

                                                                                                                                                  使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。

                                                                                                                                                  1

                                                                                                                                                  在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。

                                                                                                                                                  VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
                                                                                                                                                  2

                                                                                                                                                  使用下列預設登入和密碼來登入和變更認證:

                                                                                                                                                  1. 登入:管理員

                                                                                                                                                  2. 密碼:cisco

                                                                                                                                                  由於您是首次登入您的 VM,因此您需要變更管理員密碼。

                                                                                                                                                  3

                                                                                                                                                  如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。否則,在主功能表表 中,選取編輯設定 選項。

                                                                                                                                                  4

                                                                                                                                                  使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援DHCP 。

                                                                                                                                                  5

                                                                                                                                                  (選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。

                                                                                                                                                  您不需要設定網域來符合用來取得 X.509 憑證的網域。

                                                                                                                                                  6

                                                                                                                                                  儲存網路設定並重新啟動 VM 讓變更生效。

                                                                                                                                                  上傳及裝載 HDS 設定 ISO

                                                                                                                                                  使用此程序,從您使用「HDS 設定工具」建立的 ISO 檔中設定虛擬機器。

                                                                                                                                                  開始之前

                                                                                                                                                  因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。

                                                                                                                                                  1

                                                                                                                                                  從您的電腦上傳 ISO 檔:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,按一下 ESXi 伺服器。

                                                                                                                                                  2. 在「設定」標籤的「硬體」清單上,按一下儲存空間

                                                                                                                                                  3. 在「資料儲存庫」清單中,在 VM 的資料儲存庫上按一下滑鼠右鍵,然後按一下瀏覽資料儲存庫

                                                                                                                                                  4. 按一下「上傳檔案」圖示,然後按一下上傳檔案

                                                                                                                                                  5. 瀏覽至您在電腦上下載 ISO 檔的位置,然後按一下開啟

                                                                                                                                                  6. 按一下以接受上傳/下載作業警告,然後關閉資料儲存庫對話方塊。

                                                                                                                                                  2

                                                                                                                                                  裝載 ISO 檔:

                                                                                                                                                  1. 在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定

                                                                                                                                                  2. 按一下確定以接受受限的編輯選項警告。

                                                                                                                                                  3. 按一下 CD/DVD 磁碟機 1,選取從資料儲存庫 ISO 檔裝載的選項,然後瀏覽至您上傳設定 ISO 檔的位置。

                                                                                                                                                  4. 勾選已連線電源開啟時連線

                                                                                                                                                  5. 儲存變更並重新啟動虛擬機器。

                                                                                                                                                  下一步

                                                                                                                                                  如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。

                                                                                                                                                  設定 HDS 節點以進行 Proxy 整合

                                                                                                                                                  如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。

                                                                                                                                                  開始之前

                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中輸入 HDS 節點設定 URL https://[HDS 節點 IP 或 FQDN]/setup,輸入您為該節點設定的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至信任儲存庫和 Proxy,然後選擇一個選項:

                                                                                                                                                  • 無 Proxy — 整合 Proxy 之前的預設選項。無需更新憑證。
                                                                                                                                                  • 透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址,因此不需要任何變更即可使用非檢查 Proxy。無需更新憑證。
                                                                                                                                                  • 透通的檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。在混合資料安全部署中不需要變更 HTTPS 設定,但是,HDS 節點需要根憑證以使其信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
                                                                                                                                                  • 明確 Proxy - 透過明確的 Proxy,您可以告知用戶端(HDS 節點)使用哪個代理伺服器,此選項支援多種驗證類型。選擇此選項後,您必須輸入以下資訊:
                                                                                                                                                    1. Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。

                                                                                                                                                    2. Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。

                                                                                                                                                    3. Proxy 通訊協定— 選擇http (檢視和控制從用戶端收到的所有請求)或https (提供伺服器的通道,且用戶端接收並驗證伺服器的憑證)。根據 Proxy 伺服器支援的內容來選擇一個選項。

                                                                                                                                                    4. 驗證類型- 從以下驗證類型中選擇:

                                                                                                                                                      • — 不需要進一步的驗證。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                      • 基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。

                                                                                                                                                        適用於 HTTP 或 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                      • 摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。

                                                                                                                                                        僅適用於 HTTPS Proxy。

                                                                                                                                                        如果選擇此選項,則您還必須輸入使用者名稱和密碼。

                                                                                                                                                  針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。

                                                                                                                                                  3

                                                                                                                                                  按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。

                                                                                                                                                  憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。

                                                                                                                                                  如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」

                                                                                                                                                  5

                                                                                                                                                  連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。

                                                                                                                                                  6

                                                                                                                                                  按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝

                                                                                                                                                  節點會在幾分鐘內重新啟動。

                                                                                                                                                  7

                                                                                                                                                  節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。

                                                                                                                                                  Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。

                                                                                                                                                  在叢集中註冊第一個節點

                                                                                                                                                  此工作採用您在設定混合資料安全VM ,向Webex雲端註冊節點,並將其轉換為「混合資料安全性」節點。

                                                                                                                                                  註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。

                                                                                                                                                  開始之前

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com

                                                                                                                                                  2

                                                                                                                                                  從螢幕左側的功能表中,選取服務

                                                                                                                                                  3

                                                                                                                                                  在「混合服務」區段中,找到混合資料安全性,然後按一下設定

                                                                                                                                                  即會顯示「註冊混合資料安全性節點」頁面。
                                                                                                                                                  4

                                                                                                                                                  選取指出您已設定節點且準備好註冊它,然後按下一步

                                                                                                                                                  5

                                                                                                                                                  在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。

                                                                                                                                                  我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」

                                                                                                                                                  6

                                                                                                                                                  在第二個欄位中,輸入節點的內部 IP 位址或完整網域名稱 (FQDN),然後按下一步

                                                                                                                                                  此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM

                                                                                                                                                  將出現一則訊息,指出您可以向Webex註冊您的節點。
                                                                                                                                                  7

                                                                                                                                                  按一下移至節點

                                                                                                                                                  8

                                                                                                                                                  按一下警告訊息中的繼續。

                                                                                                                                                  稍待片刻後,您被重新導向至Webex服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在這裡,您確認要向Webex組織授予權限,以存取您的節點。
                                                                                                                                                  9

                                                                                                                                                  勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續

                                                                                                                                                  您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  10

                                                                                                                                                  按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  混合資料安全性頁面上,會顯示包含您所註冊節點的新叢集。該節點將自動從雲端下載最新的軟體。

                                                                                                                                                  建立並註冊更多節點

                                                                                                                                                  若要將其他節點新增至您的叢集,只需建立其他 VM 並裝載相同的設定 ISO 檔,然後註冊節點。建議您至少具有 3 個節點。

                                                                                                                                                  目前,您在 中建立的備份 VM完成混合資料安全性的先決條件 是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。有關詳細資訊,請參閱使用待機資料中心進行災害復原

                                                                                                                                                  開始之前

                                                                                                                                                  • 一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。

                                                                                                                                                  • 確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。

                                                                                                                                                  1

                                                                                                                                                  從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA

                                                                                                                                                  2

                                                                                                                                                  在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM

                                                                                                                                                  3

                                                                                                                                                  在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO

                                                                                                                                                  4

                                                                                                                                                  如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 為新節點提供需要。

                                                                                                                                                  5

                                                                                                                                                  註冊節點。

                                                                                                                                                  1. https://admin.webex.com 中,從螢幕左側的功能表中選取服務

                                                                                                                                                  2. 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下資源

                                                                                                                                                    出現「混合資料安全性資源」頁。
                                                                                                                                                  3. 按一下新增資源

                                                                                                                                                  4. 在第一個欄位中,選取現有叢集的名稱。

                                                                                                                                                  5. 在第二個欄位中,輸入節點的內部 IP 位址或完整網域名稱 (FQDN),然後按下一步

                                                                                                                                                    系統將顯示一則訊息,指出您可以將節點註冊到Webex雲端。
                                                                                                                                                  6. 按一下移至節點

                                                                                                                                                    稍待片刻後,您被重新導向至Webex服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在這裡,您確認要向組織授予權限,以存取您的節點。
                                                                                                                                                  7. 勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續

                                                                                                                                                    您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
                                                                                                                                                  8. 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。

                                                                                                                                                  您的節點已註冊。請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。

                                                                                                                                                  下一步

                                                                                                                                                  執行試用並移至生產 (下一章)

                                                                                                                                                  執行試用版並移至正式作業

                                                                                                                                                  試用到生產任務流程

                                                                                                                                                  "安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。

                                                                                                                                                  1

                                                                                                                                                  如果適用,請同步Hds試用群組 群組物件。

                                                                                                                                                  如果您的組織為使用者使用目錄同步,則您必須選取Hds試用群組 群組物件以同步到雲端,然後才能開始試用。如需相關指示,請參閱Cisco目錄連接器的部署指南。

                                                                                                                                                  2

                                                                                                                                                  啟動試用版

                                                                                                                                                  開始試用服務。在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。

                                                                                                                                                  3

                                                                                                                                                  測試混合資料安全性部署

                                                                                                                                                  檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  4

                                                                                                                                                  監視混合資料安全性的性能

                                                                                                                                                  檢查狀態,並"安裝;設定"的電子郵件通知。

                                                                                                                                                  5

                                                                                                                                                  在您的試用版中新增或移除使用者

                                                                                                                                                  6

                                                                                                                                                  使用下列動作之一完成試用階段:

                                                                                                                                                  啟動試用版

                                                                                                                                                  開始之前

                                                                                                                                                  如果您的組織為使用者使用目錄同步,您必須選取 HdsTrialGroup 群組物件以同步至雲端,然後您才能為您的組織啟動試用版 。如需相關指示,請參閱Cisco目錄連接器的部署指南。

                                                                                                                                                  1

                                                                                                                                                  登入 https://admin.webex.com,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在「服務狀態」區段中,按一下啟動試用版

                                                                                                                                                  服務狀態會變更為試用模式。
                                                                                                                                                  4

                                                                                                                                                  按一下新增使用者 並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。

                                                                                                                                                  (如果您的組織使用目錄同步,請使用 Active Directory 來管理試用群組 HdsTrialGroup。)

                                                                                                                                                  測試混合資料安全性部署

                                                                                                                                                  使用此流程來測試「混合資料安全性」加密情境。

                                                                                                                                                  開始之前

                                                                                                                                                  • 設定您的「混合資料安全性」部署。

                                                                                                                                                  • 啟動試用版,並新增數個試用使用者。

                                                                                                                                                  • 請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。

                                                                                                                                                  1

                                                                                                                                                  給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。

                                                                                                                                                  如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。

                                                                                                                                                  2

                                                                                                                                                  將訊息傳送至新空間。

                                                                                                                                                  3

                                                                                                                                                  檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。

                                                                                                                                                  1. 若要檢查是否有使用者首先建立通往 KMS 的安全通道,請篩選kms.data.method=建立kms.data.type=暫時_鍵_集合

                                                                                                                                                    您應該會找到類似如下的項目(縮短了 ID 以便於閱讀):
                                                                                                                                                    已收到 2020-07-21 17:35:34.562 (+000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST],裝置 ID:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdhe孩子:kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKms訊息處理程序.java:312) WEBEX_ TRACKINGID=HdsIntTest_d [~]0, kms.data.method=建立,kms.merc.id=8[~]a,kms.merc.sync=false,kms.data.uriHost=hds2.org5.portun.us, kms.data.type=暫時_鍵_集合、kms.data.requestId=9[~]6、kms.data.uri=kms://hds2.org5.portun.us/ecdhe、kms.data.userId=0[~]2
                                                                                                                                                  2. 若要檢查是否有使用者從 KMS 請求現有金鑰,請篩選kms.data.method=擷取kms.data.type=密鑰

                                                                                                                                                    您應該會找到類似如下的項目:
                                                                                                                                                    已收到 2020 年 7 月 17:44:19.889 (+000) 資訊 KMS [pool-14-thread-31] - [KMS:REQUEST],裝置 ID:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdhe孩子:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKms訊息處理程序.java:312) WEBEX_ TRACKINGID=HdsIntTest_f [~]0, kms.data.method=擷取、kms.merc.id=c[~]7、kms.merc.sync=false、kms.data.uriHost=ciscospark.com、 kms.data.type=密鑰、kms.data.requestId=9[~]3、kms.data.uri=kms://ciscospark.com/keys/d[~]2、kms.data.userId=1[~]b
                                                                                                                                                  3. 若要檢查是否有使用者請求建立新的 KMS 金鑰,請篩選kms.data.method=建立kms.data.type=密鑰_集合

                                                                                                                                                    您應該會找到類似如下的項目:
                                                                                                                                                    已收到 2020-07-21 17:44:21.975 (+000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST],裝置 ID:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdhe孩子:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKms訊息處理程序.java:312) WEBEX_ TRACKINGID=HdsIntTest_ 4[~]0, kms.data.method=建立,kms.merc.id=6[~]e,kms.merc.sync=false,kms.data.uriHost=空, kms.data.type=密鑰_集合,kms.data.requestId=6[~]4,kms.data.uri=/keys,kms.data.userId=1[~]b
                                                                                                                                                  4. 若要在建立空間或其他受保護資源時檢查是否有使用者請求建立新的 KMS 資源物件 (KRO),請篩選kms.data.method=建立kms.data.type=資源_集合

                                                                                                                                                    您應該會找到類似如下的項目:
                                                                                                                                                    已收到 2020 年 17:44:22.808 (+000) 資訊 KMS [pool-15-thread-1] - [KMS:REQUEST],裝置 ID:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdhe孩子:kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKms訊息處理程序.java:312) WEBEX_ TRACKINGID=HdsIntTest_d [~]0, kms.data.method=建立,kms.merc.id=5[~]3,kms.merc.sync=true,kms.data.uriHost=空, kms.data.type=資源_集合,kms.data.requestId=d[~]e,kms.data.uri=/resources,kms.data.userId=1[~]b

                                                                                                                                                  監視混合資料安全性的性能

                                                                                                                                                  Control Hub 中的狀態指示燈會向您顯示「混合資料安全性」部署是否一切正常。如需更為主動的警示,請註冊電子郵件通知。當出現影響服務的警報或有軟體升級時,系統將會通知您。
                                                                                                                                                  1

                                                                                                                                                  輸入Control Hub ,選取服務 從螢幕左側的功能表中。

                                                                                                                                                  2

                                                                                                                                                  在 Hybrid Services 區段中,找到「混合資料安全性」並按一下設定

                                                                                                                                                  即會顯示「混合資料安全性設定」頁面。
                                                                                                                                                  3

                                                                                                                                                  在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。

                                                                                                                                                  在您的試用版中新增或移除使用者

                                                                                                                                                  啟動試用版並新增了起始試用使用者集之後,您便可以在試用版活動時隨時新增或移除試用成員。

                                                                                                                                                  如果您從試用版移除某個使用者,則該使用者的用戶端將從雲端 KMS 而不是您的 KMS 請求金鑰和金鑰建立。如果用戶端需要儲存在 KMS 上的金鑰,則雲端 KMS 將代表使用者擷取該金鑰。

                                                                                                                                                  如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, Hds試用群組;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在「服務狀態」區域的「試用模式」區段中,按一下新增使用者,或按一下檢視並編輯以從試用版移除使用者。

                                                                                                                                                  4

                                                                                                                                                  輸入要新增的一或多個使用者的電子郵件地址,或按一下使用者 ID 旁邊的 X 以從試用版中移除使用者。然後按一下「儲存」。

                                                                                                                                                  從試用版移至正式作業

                                                                                                                                                  如果您滿意部署對試用使用者的良好效果,則可以移至正式作業。當您移至生產時,組織中的所有使用者將使用您的內部部署混合資料安全網域進行加密金鑰及其他安全領域服務。除非在嚴重損壞修復過程中停用服務,否則您無法從正式作業移回至試用模式。停用服務需要您設定新的試用。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在「服務狀態」區段中,按一下移至正式作業

                                                                                                                                                  4

                                                                                                                                                  確認您要將所有使用者移至正式作業。

                                                                                                                                                  結束試用而不移至正式作業

                                                                                                                                                  如果在試用期間,您決定不繼續部署「混合資料安全性」,您可以停用「混合資料安全性」,這將結束試用服務,並將試用使用者移回雲端資料安全性服務。試用使用者將無法存取在試用期間加密的資料。
                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub,然後選取服務

                                                                                                                                                  2

                                                                                                                                                  在混合資料安全性下,按一下設定

                                                                                                                                                  3

                                                                                                                                                  在「停用」區段中,按一下停用

                                                                                                                                                  4

                                                                                                                                                  確認要停用服務並結束試用。

                                                                                                                                                  管理您的 HDS 部署

                                                                                                                                                  管理 HDS 部署

                                                                                                                                                  使用這裡描述的任務來管理您的「混合資料安全性」部署。

                                                                                                                                                  設定叢集升級排程

                                                                                                                                                  混合資料安全性的軟體升級可在叢集層級自動完成,從而確保所有節點始終執行相同的軟體版本。根據叢集的升級排程來完成升級。當軟體升級變成可用時,您可以選擇在排定的升級時間之前手動升級叢集。可以設定特定的升級排程,或者使用預設排程(美國每天凌晨 3:00):美洲/洛杉磯。必要時,也可以選擇延遲即將進行的升級。

                                                                                                                                                  若要設定升級排程,請執行下列動作:

                                                                                                                                                  1

                                                                                                                                                  登入 Control Hub。

                                                                                                                                                  2

                                                                                                                                                  在「概觀」頁面上的 Hybrid Services 下,選取混合資料安全性

                                                                                                                                                  3

                                                                                                                                                  在「混合資料安全性資源」頁上,選取叢集。

                                                                                                                                                  4

                                                                                                                                                  在右側「概觀」面板上的「叢集設定」下,選取叢集名稱。

                                                                                                                                                  5

                                                                                                                                                  在「設定」頁面上的「升級」下,選取升級排程的時間和時區。

                                                                                                                                                  附註:在「時區」下,會顯示下一可用升級日期和時間。需要的話,您可以透過按一下延遲,將升級延遲至次日。

                                                                                                                                                  變更節點設定

                                                                                                                                                  偶爾出於如下原因,您可能需要變更混合資料安全節點的設定:
                                                                                                                                                  • 由於到期或其他原因而變更 x.509 憑證。

                                                                                                                                                    我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。

                                                                                                                                                  • 更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。

                                                                                                                                                    我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。

                                                                                                                                                  • 建立新的設定以準備新的資料中心。

                                                                                                                                                  同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:

                                                                                                                                                  • 軟重設— 舊密碼和新密碼最多可使用 10 天。使用此時段逐步取代節點上的 ISO 檔案。

                                                                                                                                                  • 硬重設— 舊密碼立即失效。

                                                                                                                                                  如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。

                                                                                                                                                  使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。

                                                                                                                                                  在開始之前

                                                                                                                                                  • 「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。

                                                                                                                                                    如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。此表格提供了一些可能的環境變數:

                                                                                                                                                    說明

                                                                                                                                                    變數

                                                                                                                                                    HTTP Proxy 不含驗證

                                                                                                                                                    全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠

                                                                                                                                                    HTTPS Proxy 不含驗證

                                                                                                                                                    全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠

                                                                                                                                                    HTTP Proxy 含驗證

                                                                                                                                                    全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠

                                                                                                                                                    HTTPS Proxy 含驗證

                                                                                                                                                    全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠

                                                                                                                                                  • 您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。

                                                                                                                                                  1

                                                                                                                                                  在本端機器上使用 Docker 來執行「HDS 設定」工具。

                                                                                                                                                  1. 在機器的指令行中,輸入適合您環境的指令:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    Docker rmi ciscocitg/hds 設定:穩定版

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。

                                                                                                                                                  2. 若要登入 Docker 映像登錄,請輸入下列項目:

                                                                                                                                                    Docker 登入 -u HDs客戶羅
                                                                                                                                                  3. 在密碼提示中,輸入此雜湊:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6RokvKUIo
                                                                                                                                                  4. 下載適用於您環境的最新穩定映像:

                                                                                                                                                    在一般環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    在 FedRAMP 環境中:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    確保為此程序擷取最新的「設定」工具。2018 年 2 月 22 日前建立的工具版本不具有重設密碼螢幕。

                                                                                                                                                  5. 提取完成後,輸入適用於您環境的指令:

                                                                                                                                                    • 在沒有 Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e 全球_代理_HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在具有 HTTPSProxy 的一般環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e 全球_代理_HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • 在沒有 Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTP Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e 全球_代理_HTTP_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • 在具有 HTTPS Proxy 的 FedRAMP 環境中:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e 全球_代理_HTTPS_ PROXY=http://SERVER_ IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。

                                                                                                                                                  6. 使用瀏覽器來連線 localhost,http://127.0.0.1:8080

                                                                                                                                                    設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 本地主機。

                                                                                                                                                  7. 提示時,輸入 Control Hub 客戶登入認證,然後按一下接受 以繼續。

                                                                                                                                                  8. 匯入現行設定 ISO 檔。

                                                                                                                                                  9. 遵循提示來完成工具並下載更新檔。

                                                                                                                                                    若要關閉設定工具,請按 CTRL+C

                                                                                                                                                  10. 在其他資料中心內建立更新檔的備份副本。

                                                                                                                                                  2

                                                                                                                                                  若您僅在執行一個 HDS 節點,建立新的「混合資料安全性」節點VM並使用新的ISO設定檔案進行註冊。如需更詳細的指示,請參閱建立並註冊更多節點

                                                                                                                                                  1. 安裝 HDS 主機 OVA。

                                                                                                                                                  2. 設定 HDS VM。

                                                                                                                                                  3. 裝載更新的設定檔。

                                                                                                                                                  4. 在 Control Hub 中註冊新的節點。

                                                                                                                                                  3

                                                                                                                                                  針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點:

                                                                                                                                                  1. 關閉虛擬機器。

                                                                                                                                                  2. 在 VMware vSphere 用戶端的左側導覽窗格中,在 VM 上按一下滑鼠右鍵,然後按一下編輯設定

                                                                                                                                                  3. 按一下 CD/DVD 磁碟機 1,選取從 ISO 檔進行裝載的選項,然後瀏覽至新設定 ISO 檔的下載位置。

                                                                                                                                                  4. 勾選電源開啟時連線

                                                                                                                                                  5. 儲存變更並開啟虛擬機器的電源。

                                                                                                                                                  4

                                                                                                                                                  重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。

                                                                                                                                                  關閉封鎖的外部 DNS 解析模式

                                                                                                                                                  當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。

                                                                                                                                                  如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。

                                                                                                                                                  開始之前

                                                                                                                                                  確保您的內部 DNS 伺服器可以解析公用 DNS 名稱,而且您的節點可以與它們通訊。
                                                                                                                                                  1

                                                                                                                                                  在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup), 輸入您為節點"安裝;設定"的管理員認證,然後按一下登入

                                                                                                                                                  2

                                                                                                                                                  轉至概觀(預設頁面)。

                                                                                                                                                  啟用時,封鎖的外部 DNS 解析設定為

                                                                                                                                                  3

                                                                                                                                                  轉至信任儲存庫和 Proxy 頁面。

                                                                                                                                                  4

                                                                                                                                                  按一下檢查 Proxy 連線

                                                                                                                                                  如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。

                                                                                                                                                  下一步

                                                                                                                                                  在混合資料安全叢集中的每個節點上重複執行 Proxy 連線測試。

                                                                                                                                                  移除節點

                                                                                                                                                  使用此流程從Webex雲端移除「混合資料安全性」節點。從叢集中移除節點後,請刪除虛擬機器以防止進一步存取您的安全性資料。
                                                                                                                                                  1

                                                                                                                                                  使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。

                                                                                                                                                  2

                                                                                                                                                  移除節點:

                                                                                                                                                  1. 登入 Control Hub,然後選取服務

                                                                                                                                                  2. 在混合資料安全性卡片上,按一下檢視全部 以顯示「混合資料安全性資源」頁。

                                                                                                                                                  3. 選取您的叢集以顯示其概觀面板。

                                                                                                                                                  4. 按一下開啟節點清單

                                                                                                                                                  5. 在節點標籤上,選取要移除的節點。

                                                                                                                                                  6. 按一下動作 >取消註冊節點

                                                                                                                                                  3

                                                                                                                                                  在 vSphere 用戶端中,刪除VM。(在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。)

                                                                                                                                                  如果您不刪除VM,請記住解除掛載ISO設定檔案。如果沒有ISO檔案,您將無法使用VM來存取安全性資料。

                                                                                                                                                  使用待機資料中心進行災害復原

                                                                                                                                                  混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。

                                                                                                                                                  由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。若要防止此類流失,必須執行下列作法:

                                                                                                                                                  若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。

                                                                                                                                                  1

                                                                                                                                                  啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO

                                                                                                                                                  2

                                                                                                                                                  設定完 Syslogd 伺服器後,按一下進階設定

                                                                                                                                                  3

                                                                                                                                                  進階設定 頁面,在下面新增設定或移除被動模式 配置以使節點處於活動狀態。進行此設定後,節點即可處理流量。

                                                                                                                                                   被動模式:「錯誤」 

                                                                                                                                                  4

                                                                                                                                                  完成設定過程並將ISO檔案儲存在易於尋找的位置。

                                                                                                                                                  5

                                                                                                                                                  在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。

                                                                                                                                                  6

                                                                                                                                                  在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。

                                                                                                                                                  7

                                                                                                                                                  按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。

                                                                                                                                                  確保已連線開啟電源時連接 會檢查,以便更新的組態變更可以在啟動節點後生效。

                                                                                                                                                  8

                                                                                                                                                  開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。

                                                                                                                                                  9

                                                                                                                                                  對備用資料中心中的每個節點重複此過程。

                                                                                                                                                  檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。「KMS 已設定為被動模式」不應出現在系統記錄中。

                                                                                                                                                  下一步

                                                                                                                                                  在容錯移轉後,如果主資料中心再次變為活躍狀態,請遵循中所述的步驟將備用資料中心再次設定為被動模式。設定備用資料中心以進行災害復原

                                                                                                                                                  (可選)在 HDS 配置後解除掛載ISO

                                                                                                                                                  標準 HDS 組態在安裝ISO的情況下執行。但是,有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。

                                                                                                                                                  您仍然使用ISO檔案來進行組態變更。當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。

                                                                                                                                                  開始之前

                                                                                                                                                  將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。

                                                                                                                                                  1

                                                                                                                                                  關閉其中一個 HDS 節點。

                                                                                                                                                  2

                                                                                                                                                  在 vCenter Server Appliance 中,選取 HDS 節點。

                                                                                                                                                  3

                                                                                                                                                  選擇編輯設定 > CD/ DVD驅動器 並取消選取資料儲存區ISO檔案

                                                                                                                                                  4

                                                                                                                                                  開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。

                                                                                                                                                  5

                                                                                                                                                  依次為每個 HDS 節點重複此操作。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  檢視警示並疑難排解

                                                                                                                                                  如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:

                                                                                                                                                  • 無法建立新空間(無法建立新金鑰)

                                                                                                                                                  • 無法解密下列使用者的訊息和空間標題:

                                                                                                                                                    • 新增至空間的新使用者(無法擷取金鑰)

                                                                                                                                                    • 空間中使用新用戶端的現有使用者(無法擷取金鑰)

                                                                                                                                                  • 只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行

                                                                                                                                                  請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。

                                                                                                                                                  警示

                                                                                                                                                  如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。

                                                                                                                                                  表 1. 通用問題以及解決這些問題的步驟

                                                                                                                                                  警示

                                                                                                                                                  動作

                                                                                                                                                  本端資料庫存取失敗。

                                                                                                                                                  檢查資料庫錯誤或本端網路問題。

                                                                                                                                                  本端資料庫連線失敗。

                                                                                                                                                  檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。

                                                                                                                                                  雲端服務存取失敗。

                                                                                                                                                  檢查節點是否可以存取中指定的Webex伺服器外部連線需求

                                                                                                                                                  更新雲端服務註冊。

                                                                                                                                                  已放棄註冊至雲端服務。正在更新註冊。

                                                                                                                                                  已放棄雲端服務註冊。

                                                                                                                                                  註冊至雲端服務已終止。服務正在關閉。

                                                                                                                                                  服務尚未啟動。

                                                                                                                                                  啟動試用版,或完成將試用版移至正式作業。

                                                                                                                                                  設定的網域不符合伺服器憑證。

                                                                                                                                                  確保伺服器憑證符合設定的服務啟動網域。

                                                                                                                                                  最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。

                                                                                                                                                  無法向雲端服務驗證。

                                                                                                                                                  檢查服務帳戶認證的正確性以及是否可能過期。

                                                                                                                                                  無法開啟本端金鑰儲存庫檔案。

                                                                                                                                                  檢查本端金鑰儲存庫檔上的完整性和密碼正確性。

                                                                                                                                                  本端伺服器憑證無效。

                                                                                                                                                  檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。

                                                                                                                                                  無法公佈度量。

                                                                                                                                                  檢查本端網路對外部雲端服務的存取權。

                                                                                                                                                  /media/configdrive/hds 目錄不存在。

                                                                                                                                                  檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。

                                                                                                                                                  混合資料安全性疑難排解

                                                                                                                                                  當對混合資料安全性問題進行疑難排解時,請使用以下一般準則。
                                                                                                                                                  1

                                                                                                                                                  複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。

                                                                                                                                                  2

                                                                                                                                                  複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。

                                                                                                                                                  3

                                                                                                                                                  聯絡 Cisco 技術支援

                                                                                                                                                  其他附註

                                                                                                                                                  混合資料安全性的已知問題

                                                                                                                                                  • 如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這同時適用於試用版與正式作業部署。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。

                                                                                                                                                  • 與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。

                                                                                                                                                    當您針對組織將試用版移至正式作業時會發生相同的行為。與先前資料安全性服務具有現有 ECDH 連線的非試用使用者將繼續使用那些服務,直到 ECDH 連線重新協商(透過逾時或登出再重新登入)為止。

                                                                                                                                                  使用 OpenSSL 來產生 PKCS12 檔

                                                                                                                                                  開始之前

                                                                                                                                                  • OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。

                                                                                                                                                  • 如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。在繼續進行之前先瞭解這些需求。

                                                                                                                                                  • 在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org

                                                                                                                                                  • 建立私密金鑰。

                                                                                                                                                  • 當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。

                                                                                                                                                  1

                                                                                                                                                  當您收到來自 CA 的伺服器憑證時,請將它儲存成 hdsnode.pem

                                                                                                                                                  2

                                                                                                                                                  將憑證顯示成文字,並驗證詳細資料。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  使用文字編輯器來建立稱為 hdsnode-bundle.pem 的憑證組合檔案。組合檔必須包括伺服器憑證、任何中間 CA 憑證以及根 CA 憑證,格式如下所示:

                                                                                                                                                  -----開始憑證 ----- ### 伺服器憑證。 ### -----結束憑證---- -----開始憑證----- ### 中間CA 憑證。 ### -----結束憑證---- -----開始憑證----- ### 根CA 憑證。 ### -----結束憑證 -----

                                                                                                                                                  4

                                                                                                                                                  建立 .p12 檔並使用易記的名稱 kms-private-key

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  檢查伺服器憑證詳細資料。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. 系統提示時輸入密碼以加密私密金鑰,讓它列在輸出中。然後,驗證私密金鑰以及第一個憑證是否包括下列各行:friendlyName: kms-private-key

                                                                                                                                                    範例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 輸入匯入密碼:MAC 已驗證正常 包屬性 friendlyName:kms-private-key localKeyID:54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 鍵屬性:輸入 PEM 密碼:驗證中 - 輸入 PEM 通行詞組:-----開始加密的私人金鑰----- -----結束加密私人金鑰----- 包屬性友好名稱:kms-private-key localKeyID:54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主旨=/CN=hds1.org6.portun.us 發行者=/C=US/O=讓我們加密/CN=讓我們加密授權機構 X3 -- ---開始憑證 ----- -----結束憑證 ----- 包屬性友好名稱:CN=讓我們加密授權 X3,O=讓我們加密,C=US 主體=/C=US/O=讓我們加密/CN=讓我們加密授權 X3 發行者=/O=數位簽名信任公司/CN=DST 根 CA X3 -----開始憑證 ----- -----結束憑證 -----

                                                                                                                                                  下一步

                                                                                                                                                  返回到完成混合資料安全性的先決條件。您將使用hds節點.p12 檔案以及您為該檔案設定的密碼,在為 HDS 主機建立設定ISO

                                                                                                                                                  當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。

                                                                                                                                                  HDS 節點與雲端之間的流量

                                                                                                                                                  外撥度量收集流量

                                                                                                                                                  混合資料安全性節點將某些指標傳送至Webex雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。

                                                                                                                                                  傳入流量

                                                                                                                                                  混合資料安全性節點從Webex雲端接收以下類型的入埠流量:

                                                                                                                                                  • 來自用戶端的加密請求,由加密服務路由

                                                                                                                                                  • 節點軟體的升級

                                                                                                                                                  設定 Squid Proxy 以實現混合資料安全

                                                                                                                                                  Websocket 無法透過 Squid Proxy 連線

                                                                                                                                                  檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss: ) 連線。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss: 流量,從而確保服務正確運作。

                                                                                                                                                  Squid 4 和 5

                                                                                                                                                  新增on_unsupported_protocol 指示為squid 設定檔

                                                                                                                                                  on_unsupported_protocol 全部傳送

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  我們透過新增以下規則至 squid.conf,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump 拼接 wssMercuryConnection acl 步驟 1at_step SSLBump1 acl 步驟 2at_step SSLBump2 acl 步驟 3at_step SSLBump3ssl_bump 全部查看步驟 1ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
                                                                                                                                                  本文是否有幫助?
                                                                                                                                                  本文是否有幫助?