- 首頁
- /
- 文章
Webex混合資料安全性部署指南
新的和變更的資訊
日期 | 進行的變更 | ||
---|---|---|---|
2023 年 10 月 20 日 |
| ||
2023 年 8 月 7 日 |
| ||
2023 年 5 月 23 日 |
| ||
2022 年 12 月 6 日 |
| ||
2022 年 11 月 23 日 |
| ||
2021 年 10 月 13 日 | Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求。 | ||
2021 年 6 月 24 日 | 注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。 | ||
2021 年 4 月 30 日 | 已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。 | ||
2021 年 2 月 24 日 | HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。 | ||
2021 年 2 月 2 日 | HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。 | ||
2021 年 1 月 11 日 | 新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO 。 | ||
2020 年 10 月 13 日 | 已更新下載安裝檔案。 | ||
2020 年 10 月 8 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。 | ||
2020 年 8 月 14 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。 | ||
2020 年 8 月 5 日 | 已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。 已更新虛擬主機需求以移除數目上限的主機。 | ||
2020 年 6 月 16 日 | 已更新移除節點了解 Control Hub UI 中的變更。 | ||
2020 年 6 月 4 日 | 已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。 | ||
2020 年 5 月 29 日 | 已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。 | ||
2020 年 5 月 5 日 | 已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。 | ||
2020 年 4 月 21 日 | 已更新外部連線需求與新的美洲 CI 主機搭配。 | ||
2020 年 4 月 1 日 | 已更新外部連線需求包含有關區域 CI 主機的資訊。 | ||
2020 年 2 月 20 日 | 已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。 | ||
2020 年 2 月 4 日 | 已更新Proxy 伺服器需求。 | ||
2019 年 12 月 16 日 | 明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。 | ||
2019 年 11 月 19 日 | 在以下章節中新增了有關已封鎖外部DNS解析模式的資訊: | ||
2019 年 11 月 8 日 | 現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。 已相應地更新了下列章節:
| ||
2019 年 9 月 6 日 | 新增SQL Server Standard 至資料庫伺服器需求。 | ||
2019 年 8 月 29 日 | 新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。 | ||
2019 年 8 月 20 日 | 新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。 若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。 | ||
2019 年 6 月 13 日 | 已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。 | ||
2019 年 3 月 6 日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018 年 11 月 5 日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 變更了術語以反映Cisco Spark的品牌更名:
| ||
2018 年 4 月 11 日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017 年 11 月 2 日 |
| ||
2017 年 8 月 18 日 | 首次公佈 |
混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
安全性領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。
為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:
用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。
在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。
對部署混合資料安全性的預期
混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:
管理資料庫及設定ISO的備份與復原。
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。 |
高階設定過程
此文件涵蓋「混合資料安全性」部署的設定和管理:
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模式
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)
叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。
當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。
每個組織僅支援一個叢集。
混合資料安全性試用模式
在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。
如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。
如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。
作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。 |
設定備用資料中心以進行災害復原
請遵循下列步驟來設定備用資料中心的ISO檔案:
準備工作
備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。
| ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
設定後 passiveMode
在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode
設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode
已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:
HTTP — 檢視並控制用戶端傳送的所有請求。
HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。
驗證類型 — 從以下驗證類型中選擇:
無 — 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
混合資料安全性的需求
Cisco Webex授權需求
若要部署混合資料安全性:
您必須安裝Cisco Webex Control Hub的專業版 Pack。 (請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。
X.509 憑證需求
憑證鏈結必須符合下列需求:
需求 | 詳細資訊 |
---|---|
| 依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
| 不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。 當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。 |
| KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。 |
| 您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。 當您執行 HDS 設定工具時,您將需要輸入密碼。 |
KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。 |
資料庫伺服器有兩個選項。 每個項目的需求如下:
Postgres | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) | 至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
Postgres | Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 | SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 | 通訊協定 | 連接埠 | 來自應用程式的方向 | 目標 |
---|---|---|---|---|
混合資料安全節點 | TCP | 443 | 出埠 HTTPS 和 WSS |
|
HDS 設定工具 | TCP | 443 | 出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。 |
通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:
地區 | 通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
Proxy 伺服器要求
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
透通 Proxy — Cisco 網路安全設備 (WSA)。
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
我們支援明確 Proxy 的以下驗證類型組合:
不使用 HTTP 或 HTTPS 進行驗證
使用 HTTP 或 HTTPS 進行基本驗證
僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至
wbx2.com
和ciscospark.com
將解決問題。
完成混合資料安全性的先決條件
1 | 確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。 | ||
2 | 為您的 HDS 部署選擇網域名稱(例如, | ||
3 | 準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 | ||
4 | 根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。 | ||
5 | 為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 | ||
6 | 設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。 | ||
7 | 為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。
Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 | ||
8 | 請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 | ||
9 | 安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 | ||
10 | 如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 | ||
11 | 如果您的組織使用目錄同步,請在Active Directory中建立一個名為
|
混合資料安全性部署任務流程
準備工作
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 | ||
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 | ||
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。
| ||
4 |
登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。 | ||
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 | ||
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 | ||
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 | ||
8 |
完成叢集設定。 | ||
9 | 執行試用並移至生產(下一章) 在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。 |
下載安裝檔案
1 | 登入https://admin.webex.com,然後按一下服務。 | ||||
2 | 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定。 如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。
| ||||
3 | 選取無以指示您尚未"安裝;設定"該節點,然後按一下下一個。 OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
| ||||
4 | (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定ISO
「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:
資料庫認證
憑證更新
授權原則的變更
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 | 在機器的指令行中,輸入適合您環境的指令: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
2 | 若要登入 Docker 映像登錄,請輸入下列項目:
| ||||||||||||
3 | 在密碼提示中,輸入此雜湊:
| ||||||||||||
4 | 下載適用於您環境的最新穩定映像: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
5 | 提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||||
6 |
使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。 | ||||||||||||
7 | 提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。 | ||||||||||||
8 | 在設定工具概觀頁上,按一下開始使用。 | ||||||||||||
9 | 於ISO匯入頁面上,您有下列選項:
| ||||||||||||
10 | 檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||||
11 | 輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||||
12 | 選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||||
13 | 在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||||
14 | (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:
| ||||||||||||
15 | 按一下繼續位於重設服務帳戶密碼螢幕。 服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||||
16 | 按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。 | ||||||||||||
17 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||||
18 | 若要關閉安裝工具,請鍵入 |
下一步
備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。 |
安裝 HDS 主機 OVA
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 | ||||||
2 | 選取檔案>部署 OVF 範本。 | ||||||
3 | 在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 | ||||||
4 | 於選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 | ||||||
5 | 於選取計算資源頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。 完成後,會出現範本詳細資料。 | ||||||
6 | 驗證範本詳細資料,然後按一下下一個。 | ||||||
7 | 如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個。 | ||||||
8 | 於選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。 | ||||||
9 | 於選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 | ||||||
10 | 於自訂範本頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。
| ||||||
11 | 在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 | 在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
|
2 | 使用以下預設登入和密碼來登入和變更認證: 由於您是首次登入VM ,因此您必須變更管理員密碼。 |
3 | 如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。 |
4 | 使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。 |
5 | (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。 |
6 | 儲存網路組態設定並重新啟動VM以使變更生效。 |
上傳並裝載 HDS 設定ISO
準備工作
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。
1 | 從您的電腦上傳ISO檔案: |
2 | 裝載ISO檔案: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
準備工作
請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
1 | 輸入 HDS 節點設定URL |
2 | 轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 | 按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 | 按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 | 連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。 |
6 | 按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 | 節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 | 從螢幕左側的功能表中,選取服務。 |
3 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 出現「註冊混合資料安全節點」頁。
|
4 | 選取是以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個。 |
5 | 在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」 |
6 | 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 | 按一下移至節點。 |
8 | 按一下警告訊息中的繼續。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
|
9 | 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
10 | 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。 於混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原。 |
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | 從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 | 在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 | 在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 | 如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。 |
5 | 註冊節點。 您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。
|
下一步
試用到生產任務流程
"安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。
準備工作
1 | 如果適用,請同步 如果您的組織為使用者使用目錄同步,則您必須選取 |
2 |
開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。 |
3 |
檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
4 |
檢查狀態,並"安裝;設定"的電子郵件通知。 |
5 | |
6 | 使用下列動作之一完成試用階段: |
啟動試用服務
準備工作
如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup
群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。
1 | 登入https://admin.webex.com,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下開始試用。 服務狀態變更為試用模式。
|
4 | 按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。 (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, |
測驗您的混合資料安全性部署
準備工作
設定您的「混合資料安全性」部署。
啟用試用服務,並新增多個試用服務使用者。
請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。
1 | 給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。
| ||
2 | 傳送訊息至新空間。 | ||
3 | 檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監控混合資料安全性運行狀況
1 | 輸入Control Hub ,選取服務從螢幕左側的功能表中。 |
2 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 隨即顯示混合資料安全性設定頁面。
|
3 | 在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入。 |
在試用服務中新增或移除使用者
如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。
如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup
;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。 |
4 | 輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存。 |
從試用服務移至生產環境
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下移至生產環境。 |
4 | 確認您要將所有使用者移至生產環境。 |
在不移至生產的情況下結束試用服務
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在停用區段中,按一下停用。 |
4 | 確認您要停用服務並結束試用服務。 |
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程:
1 | 登入 Control Hub。 |
2 | 在概觀頁面上的混合服務下,選取混合資料安全性。 |
3 | 在「混合資料安全性資源」頁上,選取叢集。 |
4 | 在右側的概觀面板中,在叢集設定下,選取叢集名稱。 |
5 | 在「設定」頁面上的「升級」下,選取升級排程的時間和時區。 附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。 |
變更節點組態
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 | 在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 | 如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 | 針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 | 重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
準備工作
1 | 在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 | 轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 | 轉至信任儲存庫和 Proxy 頁面。 |
4 | 按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。 |
2 | 移除節點: |
3 | 在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。
因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 | ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於 進階設定頁面,在下面新增設定或移除
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
準備工作
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 | 關閉其中一個 HDS 節點。 |
2 | 在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 | 選擇資料儲存區ISO檔案。 並取消選取 |
4 | 開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 | 依次為每個 HDS 節點重複此操作。 |
檢視警示和疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
無法建立新空間(無法建立新鍵)
訊息和空間標題無法解密:
新使用者新增至空間(無法擷取金鑰)
使用新用戶端的空間中的現有使用者(無法擷取金鑰)
空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。
警示 | 動作 |
---|---|
本端資料庫存取失敗。 |
檢查是否存在資料庫錯誤或本地網路問題。 |
本機資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。 |
存取雲端服務失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
正在更新雲端服務註冊。 |
已刪除對雲端服務的註冊。 進行中重新註冊註冊。 |
雲端服務註冊已刪除。 |
向雲端服務的註冊已終止。 服務正在關閉。 |
服務尚未啟動。 |
啟用試用服務,或完成將試用服務移至生產環境。 |
設定的網域與伺服器憑證不相符。 |
請確保您的伺服器憑證符合設定的服務啟動網域。 最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。 |
無法針對雲端服務進行驗證。 |
檢查服務帳戶認證的準確性及是否可能過期。 |
無法開啟本機金鑰儲存區檔案。 |
檢查本機金鑰存放區檔案的完整性和密碼準確度。 |
本機伺服器憑證無效。 |
檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。 |
無法公佈指標。 |
檢查對外部雲端服務的本地網路存取。 |
/media/configDrive/hds 目錄不存在。 |
檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。 |
混合資料安全性疑難排解
1 | 複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。 |
2 | 複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。 |
3 | 聯絡Cisco 支援。 |
混合資料安全性的已知問題
如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。
當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。
使用 OpenSSL 產生 PKCS12 檔案
準備工作
OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。
在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。
1 | 當您從 CA 收到伺服器憑證時,將其另存為 |
2 | 將憑證顯示為文字,並驗證詳細資料。
|
3 | 使用文字編輯器建立一個名為
|
4 | 使用易記名稱建立 .p12 檔案
|
5 | 檢查伺服器憑證詳細資料。 |
下一步
返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12
檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。 |
HDS 節點與雲端之間的流量
輸出指標收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。
入埠流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
來自用戶端的加密請求,由加密服務路由
升級至節點軟體
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增 on_unsupported_protocol
指示為 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf
。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新的和變更的資訊
日期 | 進行的變更 | ||
---|---|---|---|
2023 年 10 月 20 日 |
| ||
2023 年 8 月 7 日 |
| ||
2023 年 5 月 23 日 |
| ||
2022 年 12 月 6 日 |
| ||
2022 年 11 月 23 日 |
| ||
2021 年 10 月 13 日 | Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求。 | ||
2021 年 6 月 24 日 | 注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。 | ||
2021 年 4 月 30 日 | 已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。 | ||
2021 年 2 月 24 日 | HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。 | ||
2021 年 2 月 2 日 | HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。 | ||
2021 年 1 月 11 日 | 新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO 。 | ||
2020 年 10 月 13 日 | 已更新下載安裝檔案。 | ||
2020 年 10 月 8 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。 | ||
2020 年 8 月 14 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。 | ||
2020 年 8 月 5 日 | 已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。 已更新虛擬主機需求以移除數目上限的主機。 | ||
2020 年 6 月 16 日 | 已更新移除節點了解 Control Hub UI 中的變更。 | ||
2020 年 6 月 4 日 | 已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。 | ||
2020 年 5 月 29 日 | 已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。 | ||
2020 年 5 月 5 日 | 已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。 | ||
2020 年 4 月 21 日 | 已更新外部連線需求與新的美洲 CI 主機搭配。 | ||
2020 年 4 月 1 日 | 已更新外部連線需求包含有關區域 CI 主機的資訊。 | ||
2020 年 2 月 20 日 | 已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。 | ||
2020 年 2 月 4 日 | 已更新Proxy 伺服器需求。 | ||
2019 年 12 月 16 日 | 明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。 | ||
2019 年 11 月 19 日 | 在以下章節中新增了有關已封鎖外部DNS解析模式的資訊: | ||
2019 年 11 月 8 日 | 現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。 已相應地更新了下列章節:
| ||
2019 年 9 月 6 日 | 新增SQL Server Standard 至資料庫伺服器需求。 | ||
2019 年 8 月 29 日 | 新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。 | ||
2019 年 8 月 20 日 | 新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。 若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。 | ||
2019 年 6 月 13 日 | 已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。 | ||
2019 年 3 月 6 日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018 年 11 月 5 日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 變更了術語以反映Cisco Spark的品牌更名:
| ||
2018 年 4 月 11 日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017 年 11 月 2 日 |
| ||
2017 年 8 月 18 日 | 首次公佈 |
混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
安全性領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。
為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:
用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。
在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。
對部署混合資料安全性的預期
混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:
管理資料庫及設定ISO的備份與復原。
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。 |
高階設定過程
此文件涵蓋「混合資料安全性」部署的設定和管理:
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模式
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)
叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。
當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。
每個組織僅支援一個叢集。
混合資料安全性試用模式
在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。
如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。
如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。
作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。 |
設定備用資料中心以進行災害復原
請遵循下列步驟來設定備用資料中心的ISO檔案:
準備工作
備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。
| ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
設定後 passiveMode
在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode
設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode
已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:
HTTP — 檢視並控制用戶端傳送的所有請求。
HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。
驗證類型 — 從以下驗證類型中選擇:
無 — 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
混合資料安全性的需求
Cisco Webex授權需求
若要部署混合資料安全性:
您必須安裝Cisco Webex Control Hub的專業版 Pack。 (請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。
X.509 憑證需求
憑證鏈結必須符合下列需求:
需求 | 詳細資訊 |
---|---|
| 依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
| 不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。 當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。 |
| KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。 |
| 您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。 當您執行 HDS 設定工具時,您將需要輸入密碼。 |
KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。 |
資料庫伺服器有兩個選項。 每個項目的需求如下:
Postgres | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) | 至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
Postgres | Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 | SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 | 通訊協定 | 連接埠 | 來自應用程式的方向 | 目標 |
---|---|---|---|---|
混合資料安全節點 | TCP | 443 | 出埠 HTTPS 和 WSS |
|
HDS 設定工具 | TCP | 443 | 出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。 |
通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:
地區 | 通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
Proxy 伺服器要求
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
透通 Proxy — Cisco 網路安全設備 (WSA)。
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
我們支援明確 Proxy 的以下驗證類型組合:
不使用 HTTP 或 HTTPS 進行驗證
使用 HTTP 或 HTTPS 進行基本驗證
僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至
wbx2.com
和ciscospark.com
將解決問題。
完成混合資料安全性的先決條件
1 | 確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。 | ||
2 | 為您的 HDS 部署選擇網域名稱(例如, | ||
3 | 準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 | ||
4 | 根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。 | ||
5 | 為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 | ||
6 | 設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。 | ||
7 | 為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。
Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 | ||
8 | 請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 | ||
9 | 安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 | ||
10 | 如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 | ||
11 | 如果您的組織使用目錄同步,請在Active Directory中建立一個名為
|
混合資料安全性部署任務流程
準備工作
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 | ||
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 | ||
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。
| ||
4 |
登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。 | ||
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 | ||
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 | ||
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 | ||
8 |
完成叢集設定。 | ||
9 | 執行試用並移至生產(下一章) 在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。 |
下載安裝檔案
1 | 登入https://admin.webex.com,然後按一下服務。 | ||||
2 | 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定。 如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。
| ||||
3 | 選取無以指示您尚未"安裝;設定"該節點,然後按一下下一個。 OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
| ||||
4 | (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定ISO
「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:
資料庫認證
憑證更新
授權原則的變更
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 | 在機器的指令行中,輸入適合您環境的指令: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
2 | 若要登入 Docker 映像登錄,請輸入下列項目:
| ||||||||||||
3 | 在密碼提示中,輸入此雜湊:
| ||||||||||||
4 | 下載適用於您環境的最新穩定映像: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
5 | 提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||||
6 |
使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。 | ||||||||||||
7 | 提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。 | ||||||||||||
8 | 在設定工具概觀頁上,按一下開始使用。 | ||||||||||||
9 | 於ISO匯入頁面上,您有下列選項:
| ||||||||||||
10 | 檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||||
11 | 輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||||
12 | 選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||||
13 | 在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||||
14 | (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:
| ||||||||||||
15 | 按一下繼續位於重設服務帳戶密碼螢幕。 服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||||
16 | 按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。 | ||||||||||||
17 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||||
18 | 若要關閉安裝工具,請鍵入 |
下一步
備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。 |
安裝 HDS 主機 OVA
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 | ||||||
2 | 選取檔案>部署 OVF 範本。 | ||||||
3 | 在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 | ||||||
4 | 於選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 | ||||||
5 | 於選取計算資源頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。 完成後,會出現範本詳細資料。 | ||||||
6 | 驗證範本詳細資料,然後按一下下一個。 | ||||||
7 | 如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個。 | ||||||
8 | 於選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。 | ||||||
9 | 於選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 | ||||||
10 | 於自訂範本頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。
| ||||||
11 | 在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 | 在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
|
2 | 使用以下預設登入和密碼來登入和變更認證: 由於您是首次登入VM ,因此您必須變更管理員密碼。 |
3 | 如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。 |
4 | 使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。 |
5 | (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。 |
6 | 儲存網路組態設定並重新啟動VM以使變更生效。 |
上傳並裝載 HDS 設定ISO
準備工作
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。
1 | 從您的電腦上傳ISO檔案: |
2 | 裝載ISO檔案: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
準備工作
請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
1 | 輸入 HDS 節點設定URL |
2 | 轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 | 按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 | 按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 | 連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。 |
6 | 按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 | 節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 | 從螢幕左側的功能表中,選取服務。 |
3 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 出現「註冊混合資料安全節點」頁。
|
4 | 選取是以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個。 |
5 | 在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」 |
6 | 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 | 按一下移至節點。 |
8 | 按一下警告訊息中的繼續。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
|
9 | 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
10 | 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。 於混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原。 |
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | 從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 | 在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 | 在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 | 如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。 |
5 | 註冊節點。 您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。
|
下一步
試用到生產任務流程
"安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。
準備工作
1 | 如果適用,請同步 如果您的組織為使用者使用目錄同步,則您必須選取 |
2 |
開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。 |
3 |
檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
4 |
檢查狀態,並"安裝;設定"的電子郵件通知。 |
5 | |
6 | 使用下列動作之一完成試用階段: |
啟動試用服務
準備工作
如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup
群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。
1 | 登入https://admin.webex.com,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下開始試用。 服務狀態變更為試用模式。
|
4 | 按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。 (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, |
測驗您的混合資料安全性部署
準備工作
設定您的「混合資料安全性」部署。
啟用試用服務,並新增多個試用服務使用者。
請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。
1 | 給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。
| ||
2 | 傳送訊息至新空間。 | ||
3 | 檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監控混合資料安全性運行狀況
1 | 輸入Control Hub ,選取服務從螢幕左側的功能表中。 |
2 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 隨即顯示混合資料安全性設定頁面。
|
3 | 在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入。 |
在試用服務中新增或移除使用者
如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。
如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup
;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。 |
4 | 輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存。 |
從試用服務移至生產環境
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下移至生產環境。 |
4 | 確認您要將所有使用者移至生產環境。 |
在不移至生產的情況下結束試用服務
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在停用區段中,按一下停用。 |
4 | 確認您要停用服務並結束試用服務。 |
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程:
1 | 登入 Control Hub。 |
2 | 在概觀頁面上的混合服務下,選取混合資料安全性。 |
3 | 在「混合資料安全性資源」頁上,選取叢集。 |
4 | 在右側的概觀面板中,在叢集設定下,選取叢集名稱。 |
5 | 在「設定」頁面上的「升級」下,選取升級排程的時間和時區。 附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。 |
變更節點組態
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 | 在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 | 如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 | 針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 | 重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
準備工作
1 | 在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 | 轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 | 轉至信任儲存庫和 Proxy 頁面。 |
4 | 按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。 |
2 | 移除節點: |
3 | 在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。
因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 | ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於 進階設定頁面,在下面新增設定或移除
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
準備工作
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 | 關閉其中一個 HDS 節點。 |
2 | 在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 | 選擇資料儲存區ISO檔案。 並取消選取 |
4 | 開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 | 依次為每個 HDS 節點重複此操作。 |
檢視警示和疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
無法建立新空間(無法建立新鍵)
訊息和空間標題無法解密:
新使用者新增至空間(無法擷取金鑰)
使用新用戶端的空間中的現有使用者(無法擷取金鑰)
空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。
警示 | 動作 |
---|---|
本端資料庫存取失敗。 |
檢查是否存在資料庫錯誤或本地網路問題。 |
本機資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。 |
存取雲端服務失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
正在更新雲端服務註冊。 |
已刪除對雲端服務的註冊。 進行中重新註冊註冊。 |
雲端服務註冊已刪除。 |
向雲端服務的註冊已終止。 服務正在關閉。 |
服務尚未啟動。 |
啟用試用服務,或完成將試用服務移至生產環境。 |
設定的網域與伺服器憑證不相符。 |
請確保您的伺服器憑證符合設定的服務啟動網域。 最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。 |
無法針對雲端服務進行驗證。 |
檢查服務帳戶認證的準確性及是否可能過期。 |
無法開啟本機金鑰儲存區檔案。 |
檢查本機金鑰存放區檔案的完整性和密碼準確度。 |
本機伺服器憑證無效。 |
檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。 |
無法公佈指標。 |
檢查對外部雲端服務的本地網路存取。 |
/media/configDrive/hds 目錄不存在。 |
檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。 |
混合資料安全性疑難排解
1 | 複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。 |
2 | 複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。 |
3 | 聯絡Cisco 支援。 |
混合資料安全性的已知問題
如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。
當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。
使用 OpenSSL 產生 PKCS12 檔案
準備工作
OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。
在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。
1 | 當您從 CA 收到伺服器憑證時,將其另存為 |
2 | 將憑證顯示為文字,並驗證詳細資料。
|
3 | 使用文字編輯器建立一個名為
|
4 | 使用易記名稱建立 .p12 檔案
|
5 | 檢查伺服器憑證詳細資料。 |
下一步
返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12
檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。 |
HDS 節點與雲端之間的流量
輸出指標收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。
入埠流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
來自用戶端的加密請求,由加密服務路由
升級至節點軟體
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增 on_unsupported_protocol
指示為 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf
。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新的和變更的資訊
日期 | 進行的變更 | ||
---|---|---|---|
2023 年 10 月 20 日 |
| ||
2023 年 8 月 7 日 |
| ||
2023 年 5 月 23 日 |
| ||
2022 年 12 月 6 日 |
| ||
2022 年 11 月 23 日 |
| ||
2021 年 10 月 13 日 | Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求。 | ||
2021 年 6 月 24 日 | 注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。 | ||
2021 年 4 月 30 日 | 已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。 | ||
2021 年 2 月 24 日 | HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。 | ||
2021 年 2 月 2 日 | HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。 | ||
2021 年 1 月 11 日 | 新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO 。 | ||
2020 年 10 月 13 日 | 已更新下載安裝檔案。 | ||
2020 年 10 月 8 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。 | ||
2020 年 8 月 14 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。 | ||
2020 年 8 月 5 日 | 已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。 已更新虛擬主機需求以移除數目上限的主機。 | ||
2020 年 6 月 16 日 | 已更新移除節點了解 Control Hub UI 中的變更。 | ||
2020 年 6 月 4 日 | 已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。 | ||
2020 年 5 月 29 日 | 已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。 | ||
2020 年 5 月 5 日 | 已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。 | ||
2020 年 4 月 21 日 | 已更新外部連線需求與新的美洲 CI 主機搭配。 | ||
2020 年 4 月 1 日 | 已更新外部連線需求包含有關區域 CI 主機的資訊。 | ||
2020 年 2 月 20 日 | 已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。 | ||
2020 年 2 月 4 日 | 已更新Proxy 伺服器需求。 | ||
2019 年 12 月 16 日 | 明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。 | ||
2019 年 11 月 19 日 | 在以下章節中新增了有關已封鎖外部DNS解析模式的資訊: | ||
2019 年 11 月 8 日 | 現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。 已相應地更新了下列章節:
| ||
2019 年 9 月 6 日 | 新增SQL Server Standard 至資料庫伺服器需求。 | ||
2019 年 8 月 29 日 | 新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。 | ||
2019 年 8 月 20 日 | 新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。 若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。 | ||
2019 年 6 月 13 日 | 已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。 | ||
2019 年 3 月 6 日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018 年 11 月 5 日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 變更了術語以反映Cisco Spark的品牌更名:
| ||
2018 年 4 月 11 日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017 年 11 月 2 日 |
| ||
2017 年 8 月 18 日 | 首次公佈 |
混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
安全性領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。
為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:
用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。
在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。
對部署混合資料安全性的預期
混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:
管理資料庫及設定ISO的備份與復原。
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。 |
高階設定過程
此文件涵蓋「混合資料安全性」部署的設定和管理:
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模式
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)
叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。
當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。
每個組織僅支援一個叢集。
混合資料安全性試用模式
在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。
如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。
如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。
作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。 |
設定備用資料中心以進行災害復原
請遵循下列步驟來設定備用資料中心的ISO檔案:
準備工作
備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。
| ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
設定後 passiveMode
在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode
設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode
已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:
HTTP — 檢視並控制用戶端傳送的所有請求。
HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。
驗證類型 — 從以下驗證類型中選擇:
無 — 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
混合資料安全性的需求
Cisco Webex授權需求
若要部署混合資料安全性:
您必須安裝Cisco Webex Control Hub的專業版 Pack。 (請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。
X.509 憑證需求
憑證鏈結必須符合下列需求:
需求 | 詳細資訊 |
---|---|
| 依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
| 不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。 當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。 |
| KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。 |
| 您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。 當您執行 HDS 設定工具時,您將需要輸入密碼。 |
KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。 |
資料庫伺服器有兩個選項。 每個項目的需求如下:
Postgres | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) | 至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
Postgres | Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 | SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 | 通訊協定 | 連接埠 | 來自應用程式的方向 | 目標 |
---|---|---|---|---|
混合資料安全節點 | TCP | 443 | 出埠 HTTPS 和 WSS |
|
HDS 設定工具 | TCP | 443 | 出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。 |
通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:
地區 | 通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
Proxy 伺服器要求
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
透通 Proxy — Cisco 網路安全設備 (WSA)。
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
我們支援明確 Proxy 的以下驗證類型組合:
不使用 HTTP 或 HTTPS 進行驗證
使用 HTTP 或 HTTPS 進行基本驗證
僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至
wbx2.com
和ciscospark.com
將解決問題。
完成混合資料安全性的先決條件
1 | 確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。 | ||
2 | 為您的 HDS 部署選擇網域名稱(例如, | ||
3 | 準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 | ||
4 | 根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。 | ||
5 | 為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 | ||
6 | 設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。 | ||
7 | 為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。
Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 | ||
8 | 請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 | ||
9 | 安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 | ||
10 | 如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 | ||
11 | 如果您的組織使用目錄同步,請在Active Directory中建立一個名為
|
混合資料安全性部署任務流程
準備工作
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 | ||
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 | ||
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。
| ||
4 |
登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。 | ||
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 | ||
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 | ||
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 | ||
8 |
完成叢集設定。 | ||
9 | 執行試用並移至生產(下一章) 在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。 |
下載安裝檔案
1 | 登入https://admin.webex.com,然後按一下服務。 | ||||
2 | 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定。 如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。
| ||||
3 | 選取無以指示您尚未"安裝;設定"該節點,然後按一下下一個。 OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
| ||||
4 | (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定ISO
「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:
資料庫認證
憑證更新
授權原則的變更
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 | 在機器的指令行中,輸入適合您環境的指令: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
2 | 若要登入 Docker 映像登錄,請輸入下列項目:
| ||||||||||||
3 | 在密碼提示中,輸入此雜湊:
| ||||||||||||
4 | 下載適用於您環境的最新穩定映像: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
5 | 提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||||
6 |
使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。 | ||||||||||||
7 | 提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。 | ||||||||||||
8 | 在設定工具概觀頁上,按一下開始使用。 | ||||||||||||
9 | 於ISO匯入頁面上,您有下列選項:
| ||||||||||||
10 | 檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||||
11 | 輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||||
12 | 選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||||
13 | 在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||||
14 | (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:
| ||||||||||||
15 | 按一下繼續位於重設服務帳戶密碼螢幕。 服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||||
16 | 按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。 | ||||||||||||
17 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||||
18 | 若要關閉安裝工具,請鍵入 |
下一步
備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。 |
安裝 HDS 主機 OVA
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 | ||||||
2 | 選取檔案>部署 OVF 範本。 | ||||||
3 | 在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 | ||||||
4 | 於選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 | ||||||
5 | 於選取計算資源頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。 完成後,會出現範本詳細資料。 | ||||||
6 | 驗證範本詳細資料,然後按一下下一個。 | ||||||
7 | 如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個。 | ||||||
8 | 於選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。 | ||||||
9 | 於選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 | ||||||
10 | 於自訂範本頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。
| ||||||
11 | 在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 | 在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
|
2 | 使用以下預設登入和密碼來登入和變更認證: 由於您是首次登入VM ,因此您必須變更管理員密碼。 |
3 | 如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。 |
4 | 使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。 |
5 | (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。 |
6 | 儲存網路組態設定並重新啟動VM以使變更生效。 |
上傳並裝載 HDS 設定ISO
準備工作
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。
1 | 從您的電腦上傳ISO檔案: |
2 | 裝載ISO檔案: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
準備工作
請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
1 | 輸入 HDS 節點設定URL |
2 | 轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 | 按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 | 按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 | 連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。 |
6 | 按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 | 節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 | 從螢幕左側的功能表中,選取服務。 |
3 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 出現「註冊混合資料安全節點」頁。
|
4 | 選取是以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個。 |
5 | 在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」 |
6 | 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 | 按一下移至節點。 |
8 | 按一下警告訊息中的繼續。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
|
9 | 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
10 | 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。 於混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原。 |
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | 從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 | 在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 | 在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 | 如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。 |
5 | 註冊節點。 您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。
|
下一步
試用到生產任務流程
"安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。
準備工作
1 | 如果適用,請同步 如果您的組織為使用者使用目錄同步,則您必須選取 |
2 |
開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。 |
3 |
檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
4 |
檢查狀態,並"安裝;設定"的電子郵件通知。 |
5 | |
6 | 使用下列動作之一完成試用階段: |
啟動試用服務
準備工作
如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup
群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。
1 | 登入https://admin.webex.com,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下開始試用。 服務狀態變更為試用模式。
|
4 | 按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。 (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, |
測驗您的混合資料安全性部署
準備工作
設定您的「混合資料安全性」部署。
啟用試用服務,並新增多個試用服務使用者。
請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。
1 | 給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。
| ||
2 | 傳送訊息至新空間。 | ||
3 | 檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監控混合資料安全性運行狀況
1 | 輸入Control Hub ,選取服務從螢幕左側的功能表中。 |
2 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 隨即顯示混合資料安全性設定頁面。
|
3 | 在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入。 |
在試用服務中新增或移除使用者
如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。
如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup
;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。 |
4 | 輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存。 |
從試用服務移至生產環境
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下移至生產環境。 |
4 | 確認您要將所有使用者移至生產環境。 |
在不移至生產的情況下結束試用服務
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在停用區段中,按一下停用。 |
4 | 確認您要停用服務並結束試用服務。 |
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程:
1 | 登入 Control Hub。 |
2 | 在概觀頁面上的混合服務下,選取混合資料安全性。 |
3 | 在「混合資料安全性資源」頁上,選取叢集。 |
4 | 在右側的概觀面板中,在叢集設定下,選取叢集名稱。 |
5 | 在「設定」頁面上的「升級」下,選取升級排程的時間和時區。 附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。 |
變更節點組態
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 | 在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 | 如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 | 針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 | 重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
準備工作
1 | 在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 | 轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 | 轉至信任儲存庫和 Proxy 頁面。 |
4 | 按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。 |
2 | 移除節點: |
3 | 在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。
因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 | ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於 進階設定頁面,在下面新增設定或移除
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
準備工作
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 | 關閉其中一個 HDS 節點。 |
2 | 在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 | 選擇資料儲存區ISO檔案。 並取消選取 |
4 | 開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 | 依次為每個 HDS 節點重複此操作。 |
檢視警示和疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
無法建立新空間(無法建立新鍵)
訊息和空間標題無法解密:
新使用者新增至空間(無法擷取金鑰)
使用新用戶端的空間中的現有使用者(無法擷取金鑰)
空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。
警示 | 動作 |
---|---|
本端資料庫存取失敗。 |
檢查是否存在資料庫錯誤或本地網路問題。 |
本機資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。 |
存取雲端服務失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
正在更新雲端服務註冊。 |
已刪除對雲端服務的註冊。 進行中重新註冊註冊。 |
雲端服務註冊已刪除。 |
向雲端服務的註冊已終止。 服務正在關閉。 |
服務尚未啟動。 |
啟用試用服務,或完成將試用服務移至生產環境。 |
設定的網域與伺服器憑證不相符。 |
請確保您的伺服器憑證符合設定的服務啟動網域。 最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。 |
無法針對雲端服務進行驗證。 |
檢查服務帳戶認證的準確性及是否可能過期。 |
無法開啟本機金鑰儲存區檔案。 |
檢查本機金鑰存放區檔案的完整性和密碼準確度。 |
本機伺服器憑證無效。 |
檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。 |
無法公佈指標。 |
檢查對外部雲端服務的本地網路存取。 |
/media/configDrive/hds 目錄不存在。 |
檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。 |
混合資料安全性疑難排解
1 | 複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。 |
2 | 複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。 |
3 | 聯絡Cisco 支援。 |
混合資料安全性的已知問題
如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。
當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。
使用 OpenSSL 產生 PKCS12 檔案
準備工作
OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。
在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。
1 | 當您從 CA 收到伺服器憑證時,將其另存為 |
2 | 將憑證顯示為文字,並驗證詳細資料。
|
3 | 使用文字編輯器建立一個名為
|
4 | 使用易記名稱建立 .p12 檔案
|
5 | 檢查伺服器憑證詳細資料。 |
下一步
返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12
檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。 |
HDS 節點與雲端之間的流量
輸出指標收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。
入埠流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
來自用戶端的加密請求,由加密服務路由
升級至節點軟體
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增 on_unsupported_protocol
指示為 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf
。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新的和變更的資訊
日期 | 進行的變更 | ||
---|---|---|---|
2023 年 10 月 20 日 |
| ||
2023 年 8 月 7 日 |
| ||
2023 年 5 月 23 日 |
| ||
2022 年 12 月 6 日 |
| ||
2022 年 11 月 23 日 |
| ||
2021 年 10 月 13 日 | Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求。 | ||
2021 年 6 月 24 日 | 注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。 | ||
2021 年 4 月 30 日 | 已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。 | ||
2021 年 2 月 24 日 | HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。 | ||
2021 年 2 月 2 日 | HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。 | ||
2021 年 1 月 11 日 | 新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO 。 | ||
2020 年 10 月 13 日 | 已更新下載安裝檔案。 | ||
2020 年 10 月 8 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。 | ||
2020 年 8 月 14 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。 | ||
2020 年 8 月 5 日 | 已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。 已更新虛擬主機需求以移除數目上限的主機。 | ||
2020 年 6 月 16 日 | 已更新移除節點了解 Control Hub UI 中的變更。 | ||
2020 年 6 月 4 日 | 已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。 | ||
2020 年 5 月 29 日 | 已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。 | ||
2020 年 5 月 5 日 | 已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。 | ||
2020 年 4 月 21 日 | 已更新外部連線需求與新的美洲 CI 主機搭配。 | ||
2020 年 4 月 1 日 | 已更新外部連線需求包含有關區域 CI 主機的資訊。 | ||
2020 年 2 月 20 日 | 已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。 | ||
2020 年 2 月 4 日 | 已更新Proxy 伺服器需求。 | ||
2019 年 12 月 16 日 | 明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。 | ||
2019 年 11 月 19 日 | 在以下章節中新增了有關已封鎖外部DNS解析模式的資訊: | ||
2019 年 11 月 8 日 | 現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。 已相應地更新了下列章節:
| ||
2019 年 9 月 6 日 | 新增SQL Server Standard 至資料庫伺服器需求。 | ||
2019 年 8 月 29 日 | 新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。 | ||
2019 年 8 月 20 日 | 新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。 若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。 | ||
2019 年 6 月 13 日 | 已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。 | ||
2019 年 3 月 6 日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018 年 11 月 5 日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 變更了術語以反映Cisco Spark的品牌更名:
| ||
2018 年 4 月 11 日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017 年 11 月 2 日 |
| ||
2017 年 8 月 18 日 | 首次公佈 |
混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
安全性領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。
為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:
用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。
在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。
對部署混合資料安全性的預期
混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:
管理資料庫及設定ISO的備份與復原。
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。 |
高階設定過程
此文件涵蓋「混合資料安全性」部署的設定和管理:
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模式
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)
叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。
當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。
每個組織僅支援一個叢集。
混合資料安全性試用模式
在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。
如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。
如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。
作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。 |
設定備用資料中心以進行災害復原
請遵循下列步驟來設定備用資料中心的ISO檔案:
準備工作
備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。
| ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
設定後 passiveMode
在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode
設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode
已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:
HTTP — 檢視並控制用戶端傳送的所有請求。
HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。
驗證類型 — 從以下驗證類型中選擇:
無 — 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
混合資料安全性的需求
Cisco Webex授權需求
若要部署混合資料安全性:
您必須安裝Cisco Webex Control Hub的專業版 Pack。 (請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。
X.509 憑證需求
憑證鏈結必須符合下列需求:
需求 | 詳細資訊 |
---|---|
| 依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
| 不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。 當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。 |
| KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。 |
| 您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。 當您執行 HDS 設定工具時,您將需要輸入密碼。 |
KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。 |
資料庫伺服器有兩個選項。 每個項目的需求如下:
Postgres | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) | 至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
Postgres | Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 | SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 | 通訊協定 | 連接埠 | 來自應用程式的方向 | 目標 |
---|---|---|---|---|
混合資料安全節點 | TCP | 443 | 出埠 HTTPS 和 WSS |
|
HDS 設定工具 | TCP | 443 | 出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。 |
通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:
地區 | 通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
Proxy 伺服器要求
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
透通 Proxy — Cisco 網路安全設備 (WSA)。
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
我們支援明確 Proxy 的以下驗證類型組合:
不使用 HTTP 或 HTTPS 進行驗證
使用 HTTP 或 HTTPS 進行基本驗證
僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至
wbx2.com
和ciscospark.com
將解決問題。
完成混合資料安全性的先決條件
1 | 確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。 | ||
2 | 為您的 HDS 部署選擇網域名稱(例如, | ||
3 | 準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 | ||
4 | 根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。 | ||
5 | 為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 | ||
6 | 設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。 | ||
7 | 為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。
Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 | ||
8 | 請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 | ||
9 | 安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 | ||
10 | 如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 | ||
11 | 如果您的組織使用目錄同步,請在Active Directory中建立一個名為
|
混合資料安全性部署任務流程
準備工作
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 | ||
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 | ||
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。
| ||
4 |
登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。 | ||
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 | ||
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 | ||
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 | ||
8 |
完成叢集設定。 | ||
9 | 執行試用並移至生產(下一章) 在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。 |
下載安裝檔案
1 | 登入https://admin.webex.com,然後按一下服務。 | ||||
2 | 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定。 如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。
| ||||
3 | 選取無以指示您尚未"安裝;設定"該節點,然後按一下下一個。 OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
| ||||
4 | (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定ISO
「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:
資料庫認證
憑證更新
授權原則的變更
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 | 在機器的指令行中,輸入適合您環境的指令: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
2 | 若要登入 Docker 映像登錄,請輸入下列項目:
| ||||||||||||
3 | 在密碼提示中,輸入此雜湊:
| ||||||||||||
4 | 下載適用於您環境的最新穩定映像: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
5 | 提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||||
6 |
使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。 | ||||||||||||
7 | 提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。 | ||||||||||||
8 | 在設定工具概觀頁上,按一下開始使用。 | ||||||||||||
9 | 於ISO匯入頁面上,您有下列選項:
| ||||||||||||
10 | 檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||||
11 | 輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||||
12 | 選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||||
13 | 在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||||
14 | (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:
| ||||||||||||
15 | 按一下繼續位於重設服務帳戶密碼螢幕。 服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||||
16 | 按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。 | ||||||||||||
17 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||||
18 | 若要關閉安裝工具,請鍵入 |
下一步
備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。 |
安裝 HDS 主機 OVA
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 | ||||||
2 | 選取檔案>部署 OVF 範本。 | ||||||
3 | 在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 | ||||||
4 | 於選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 | ||||||
5 | 於選取計算資源頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。 完成後,會出現範本詳細資料。 | ||||||
6 | 驗證範本詳細資料,然後按一下下一個。 | ||||||
7 | 如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個。 | ||||||
8 | 於選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。 | ||||||
9 | 於選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 | ||||||
10 | 於自訂範本頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。
| ||||||
11 | 在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 | 在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
|
2 | 使用以下預設登入和密碼來登入和變更認證: 由於您是首次登入VM ,因此您必須變更管理員密碼。 |
3 | 如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。 |
4 | 使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。 |
5 | (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。 |
6 | 儲存網路組態設定並重新啟動VM以使變更生效。 |
上傳並裝載 HDS 設定ISO
準備工作
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。
1 | 從您的電腦上傳ISO檔案: |
2 | 裝載ISO檔案: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
準備工作
請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
1 | 輸入 HDS 節點設定URL |
2 | 轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 | 按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 | 按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 | 連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。 |
6 | 按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 | 節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 | 從螢幕左側的功能表中,選取服務。 |
3 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 出現「註冊混合資料安全節點」頁。
|
4 | 選取是以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個。 |
5 | 在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」 |
6 | 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 | 按一下移至節點。 |
8 | 按一下警告訊息中的繼續。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
|
9 | 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
10 | 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。 於混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原。 |
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | 從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 | 在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 | 在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 | 如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。 |
5 | 註冊節點。 您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。
|
下一步
試用到生產任務流程
"安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。
準備工作
1 | 如果適用,請同步 如果您的組織為使用者使用目錄同步,則您必須選取 |
2 |
開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。 |
3 |
檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
4 |
檢查狀態,並"安裝;設定"的電子郵件通知。 |
5 | |
6 | 使用下列動作之一完成試用階段: |
啟動試用服務
準備工作
如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup
群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。
1 | 登入https://admin.webex.com,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下開始試用。 服務狀態變更為試用模式。
|
4 | 按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。 (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, |
測驗您的混合資料安全性部署
準備工作
設定您的「混合資料安全性」部署。
啟用試用服務,並新增多個試用服務使用者。
請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。
1 | 給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。
| ||
2 | 傳送訊息至新空間。 | ||
3 | 檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監控混合資料安全性運行狀況
1 | 輸入Control Hub ,選取服務從螢幕左側的功能表中。 |
2 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 隨即顯示混合資料安全性設定頁面。
|
3 | 在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入。 |
在試用服務中新增或移除使用者
如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。
如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup
;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。 |
4 | 輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存。 |
從試用服務移至生產環境
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下移至生產環境。 |
4 | 確認您要將所有使用者移至生產環境。 |
在不移至生產的情況下結束試用服務
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在停用區段中,按一下停用。 |
4 | 確認您要停用服務並結束試用服務。 |
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程:
1 | 登入 Control Hub。 |
2 | 在概觀頁面上的混合服務下,選取混合資料安全性。 |
3 | 在「混合資料安全性資源」頁上,選取叢集。 |
4 | 在右側的概觀面板中,在叢集設定下,選取叢集名稱。 |
5 | 在「設定」頁面上的「升級」下,選取升級排程的時間和時區。 附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。 |
變更節點組態
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 | 在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 | 如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 | 針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 | 重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
準備工作
1 | 在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 | 轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 | 轉至信任儲存庫和 Proxy 頁面。 |
4 | 按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。 |
2 | 移除節點: |
3 | 在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。
因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 | ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於 進階設定頁面,在下面新增設定或移除
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
準備工作
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 | 關閉其中一個 HDS 節點。 |
2 | 在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 | 選擇資料儲存區ISO檔案。 並取消選取 |
4 | 開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 | 依次為每個 HDS 節點重複此操作。 |
檢視警示和疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
無法建立新空間(無法建立新鍵)
訊息和空間標題無法解密:
新使用者新增至空間(無法擷取金鑰)
使用新用戶端的空間中的現有使用者(無法擷取金鑰)
空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。
警示 | 動作 |
---|---|
本端資料庫存取失敗。 |
檢查是否存在資料庫錯誤或本地網路問題。 |
本機資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。 |
存取雲端服務失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
正在更新雲端服務註冊。 |
已刪除對雲端服務的註冊。 進行中重新註冊註冊。 |
雲端服務註冊已刪除。 |
向雲端服務的註冊已終止。 服務正在關閉。 |
服務尚未啟動。 |
啟用試用服務,或完成將試用服務移至生產環境。 |
設定的網域與伺服器憑證不相符。 |
請確保您的伺服器憑證符合設定的服務啟動網域。 最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。 |
無法針對雲端服務進行驗證。 |
檢查服務帳戶認證的準確性及是否可能過期。 |
無法開啟本機金鑰儲存區檔案。 |
檢查本機金鑰存放區檔案的完整性和密碼準確度。 |
本機伺服器憑證無效。 |
檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。 |
無法公佈指標。 |
檢查對外部雲端服務的本地網路存取。 |
/media/configDrive/hds 目錄不存在。 |
檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。 |
混合資料安全性疑難排解
1 | 複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。 |
2 | 複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。 |
3 | 聯絡Cisco 支援。 |
混合資料安全性的已知問題
如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。
當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。
使用 OpenSSL 產生 PKCS12 檔案
準備工作
OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。
在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。
1 | 當您從 CA 收到伺服器憑證時,將其另存為 |
2 | 將憑證顯示為文字,並驗證詳細資料。
|
3 | 使用文字編輯器建立一個名為
|
4 | 使用易記名稱建立 .p12 檔案
|
5 | 檢查伺服器憑證詳細資料。 |
下一步
返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12
檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。 |
HDS 節點與雲端之間的流量
輸出指標收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。
入埠流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
來自用戶端的加密請求,由加密服務路由
升級至節點軟體
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增 on_unsupported_protocol
指示為 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf
。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新的和變更的資訊
日期 | 進行的變更 | ||
---|---|---|---|
2023 年 10 月 20 日 |
| ||
2023 年 8 月 7 日 |
| ||
2023 年 5 月 23 日 |
| ||
2022 年 12 月 6 日 |
| ||
2022 年 11 月 23 日 |
| ||
2021 年 10 月 13 日 | Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求。 | ||
2021 年 6 月 24 日 | 注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。 | ||
2021 年 4 月 30 日 | 已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。 | ||
2021 年 2 月 24 日 | HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。 | ||
2021 年 2 月 2 日 | HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。 | ||
2021 年 1 月 11 日 | 新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO 。 | ||
2020 年 10 月 13 日 | 已更新下載安裝檔案。 | ||
2020 年 10 月 8 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。 | ||
2020 年 8 月 14 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。 | ||
2020 年 8 月 5 日 | 已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。 已更新虛擬主機需求以移除數目上限的主機。 | ||
2020 年 6 月 16 日 | 已更新移除節點了解 Control Hub UI 中的變更。 | ||
2020 年 6 月 4 日 | 已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。 | ||
2020 年 5 月 29 日 | 已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。 | ||
2020 年 5 月 5 日 | 已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。 | ||
2020 年 4 月 21 日 | 已更新外部連線需求與新的美洲 CI 主機搭配。 | ||
2020 年 4 月 1 日 | 已更新外部連線需求包含有關區域 CI 主機的資訊。 | ||
2020 年 2 月 20 日 | 已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。 | ||
2020 年 2 月 4 日 | 已更新Proxy 伺服器需求。 | ||
2019 年 12 月 16 日 | 明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。 | ||
2019 年 11 月 19 日 | 在以下章節中新增了有關已封鎖外部DNS解析模式的資訊: | ||
2019 年 11 月 8 日 | 現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。 已相應地更新了下列章節:
| ||
2019 年 9 月 6 日 | 新增SQL Server Standard 至資料庫伺服器需求。 | ||
2019 年 8 月 29 日 | 新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。 | ||
2019 年 8 月 20 日 | 新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。 若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。 | ||
2019 年 6 月 13 日 | 已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。 | ||
2019 年 3 月 6 日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018 年 11 月 5 日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 變更了術語以反映Cisco Spark的品牌更名:
| ||
2018 年 4 月 11 日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017 年 11 月 2 日 |
| ||
2017 年 8 月 18 日 | 首次公佈 |
混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
安全性領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。
為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:
用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。
在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。
對部署混合資料安全性的預期
混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:
管理資料庫及設定ISO的備份與復原。
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。 |
高階設定過程
此文件涵蓋「混合資料安全性」部署的設定和管理:
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模式
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)
叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。
當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。
每個組織僅支援一個叢集。
混合資料安全性試用模式
在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。
如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。
如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。
作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。 |
設定備用資料中心以進行災害復原
請遵循下列步驟來設定備用資料中心的ISO檔案:
準備工作
備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。
| ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
設定後 passiveMode
在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode
設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode
已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:
HTTP — 檢視並控制用戶端傳送的所有請求。
HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。
驗證類型 — 從以下驗證類型中選擇:
無 — 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
混合資料安全性的需求
Cisco Webex授權需求
若要部署混合資料安全性:
您必須安裝Cisco Webex Control Hub的專業版 Pack。 (請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。
X.509 憑證需求
憑證鏈結必須符合下列需求:
需求 | 詳細資訊 |
---|---|
| 依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
| 不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。 當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。 |
| KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。 |
| 您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。 當您執行 HDS 設定工具時,您將需要輸入密碼。 |
KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。 |
資料庫伺服器有兩個選項。 每個項目的需求如下:
Postgres | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) | 至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
Postgres | Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 | SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 | 通訊協定 | 連接埠 | 來自應用程式的方向 | 目標 |
---|---|---|---|---|
混合資料安全節點 | TCP | 443 | 出埠 HTTPS 和 WSS |
|
HDS 設定工具 | TCP | 443 | 出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。 |
通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:
地區 | 通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
Proxy 伺服器要求
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
透通 Proxy — Cisco 網路安全設備 (WSA)。
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
我們支援明確 Proxy 的以下驗證類型組合:
不使用 HTTP 或 HTTPS 進行驗證
使用 HTTP 或 HTTPS 進行基本驗證
僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至
wbx2.com
和ciscospark.com
將解決問題。
完成混合資料安全性的先決條件
1 | 確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。 | ||
2 | 為您的 HDS 部署選擇網域名稱(例如, | ||
3 | 準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 | ||
4 | 根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。 | ||
5 | 為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 | ||
6 | 設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。 | ||
7 | 為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。
Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 | ||
8 | 請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 | ||
9 | 安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 | ||
10 | 如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 | ||
11 | 如果您的組織使用目錄同步,請在Active Directory中建立一個名為
|
混合資料安全性部署任務流程
準備工作
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 | ||
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 | ||
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。
| ||
4 |
登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。 | ||
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 | ||
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 | ||
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 | ||
8 |
完成叢集設定。 | ||
9 | 執行試用並移至生產(下一章) 在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。 |
下載安裝檔案
1 | 登入https://admin.webex.com,然後按一下服務。 | ||||
2 | 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定。 如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。
| ||||
3 | 選取無以指示您尚未"安裝;設定"該節點,然後按一下下一個。 OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
| ||||
4 | (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定ISO
「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:
資料庫認證
憑證更新
授權原則的變更
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 | 在機器的指令行中,輸入適合您環境的指令: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
2 | 若要登入 Docker 映像登錄,請輸入下列項目:
| ||||||||||||
3 | 在密碼提示中,輸入此雜湊:
| ||||||||||||
4 | 下載適用於您環境的最新穩定映像: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
5 | 提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||||
6 |
使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。 | ||||||||||||
7 | 提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。 | ||||||||||||
8 | 在設定工具概觀頁上,按一下開始使用。 | ||||||||||||
9 | 於ISO匯入頁面上,您有下列選項:
| ||||||||||||
10 | 檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||||
11 | 輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||||
12 | 選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||||
13 | 在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||||
14 | (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:
| ||||||||||||
15 | 按一下繼續位於重設服務帳戶密碼螢幕。 服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||||
16 | 按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。 | ||||||||||||
17 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||||
18 | 若要關閉安裝工具,請鍵入 |
下一步
備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。 |
安裝 HDS 主機 OVA
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 | ||||||
2 | 選取檔案>部署 OVF 範本。 | ||||||
3 | 在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 | ||||||
4 | 於選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 | ||||||
5 | 於選取計算資源頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。 完成後,會出現範本詳細資料。 | ||||||
6 | 驗證範本詳細資料,然後按一下下一個。 | ||||||
7 | 如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個。 | ||||||
8 | 於選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。 | ||||||
9 | 於選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 | ||||||
10 | 於自訂範本頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。
| ||||||
11 | 在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 | 在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
|
2 | 使用以下預設登入和密碼來登入和變更認證: 由於您是首次登入VM ,因此您必須變更管理員密碼。 |
3 | 如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。 |
4 | 使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。 |
5 | (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。 |
6 | 儲存網路組態設定並重新啟動VM以使變更生效。 |
上傳並裝載 HDS 設定ISO
準備工作
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。
1 | 從您的電腦上傳ISO檔案: |
2 | 裝載ISO檔案: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
準備工作
請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
1 | 輸入 HDS 節點設定URL |
2 | 轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 | 按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 | 按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 | 連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。 |
6 | 按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 | 節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 | 從螢幕左側的功能表中,選取服務。 |
3 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 出現「註冊混合資料安全節點」頁。
|
4 | 選取是以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個。 |
5 | 在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」 |
6 | 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 | 按一下移至節點。 |
8 | 按一下警告訊息中的繼續。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
|
9 | 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
10 | 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。 於混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原。 |
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | 從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 | 在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 | 在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 | 如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。 |
5 | 註冊節點。 您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。
|
下一步
試用到生產任務流程
"安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。
準備工作
1 | 如果適用,請同步 如果您的組織為使用者使用目錄同步,則您必須選取 |
2 |
開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。 |
3 |
檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
4 |
檢查狀態,並"安裝;設定"的電子郵件通知。 |
5 | |
6 | 使用下列動作之一完成試用階段: |
啟動試用服務
準備工作
如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup
群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。
1 | 登入https://admin.webex.com,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下開始試用。 服務狀態變更為試用模式。
|
4 | 按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。 (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, |
測驗您的混合資料安全性部署
準備工作
設定您的「混合資料安全性」部署。
啟用試用服務,並新增多個試用服務使用者。
請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。
1 | 給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。
| ||
2 | 傳送訊息至新空間。 | ||
3 | 檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監控混合資料安全性運行狀況
1 | 輸入Control Hub ,選取服務從螢幕左側的功能表中。 |
2 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 隨即顯示混合資料安全性設定頁面。
|
3 | 在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入。 |
在試用服務中新增或移除使用者
如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。
如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup
;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。 |
4 | 輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存。 |
從試用服務移至生產環境
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下移至生產環境。 |
4 | 確認您要將所有使用者移至生產環境。 |
在不移至生產的情況下結束試用服務
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在停用區段中,按一下停用。 |
4 | 確認您要停用服務並結束試用服務。 |
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程:
1 | 登入 Control Hub。 |
2 | 在概觀頁面上的混合服務下,選取混合資料安全性。 |
3 | 在「混合資料安全性資源」頁上,選取叢集。 |
4 | 在右側的概觀面板中,在叢集設定下,選取叢集名稱。 |
5 | 在「設定」頁面上的「升級」下,選取升級排程的時間和時區。 附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。 |
變更節點組態
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 | 在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 | 如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 | 針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 | 重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
準備工作
1 | 在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 | 轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 | 轉至信任儲存庫和 Proxy 頁面。 |
4 | 按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。 |
2 | 移除節點: |
3 | 在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。
因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 | ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於 進階設定頁面,在下面新增設定或移除
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
準備工作
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 | 關閉其中一個 HDS 節點。 |
2 | 在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 | 選擇資料儲存區ISO檔案。 並取消選取 |
4 | 開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 | 依次為每個 HDS 節點重複此操作。 |
檢視警示和疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
無法建立新空間(無法建立新鍵)
訊息和空間標題無法解密:
新使用者新增至空間(無法擷取金鑰)
使用新用戶端的空間中的現有使用者(無法擷取金鑰)
空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。
警示 | 動作 |
---|---|
本端資料庫存取失敗。 |
檢查是否存在資料庫錯誤或本地網路問題。 |
本機資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。 |
存取雲端服務失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
正在更新雲端服務註冊。 |
已刪除對雲端服務的註冊。 進行中重新註冊註冊。 |
雲端服務註冊已刪除。 |
向雲端服務的註冊已終止。 服務正在關閉。 |
服務尚未啟動。 |
啟用試用服務,或完成將試用服務移至生產環境。 |
設定的網域與伺服器憑證不相符。 |
請確保您的伺服器憑證符合設定的服務啟動網域。 最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。 |
無法針對雲端服務進行驗證。 |
檢查服務帳戶認證的準確性及是否可能過期。 |
無法開啟本機金鑰儲存區檔案。 |
檢查本機金鑰存放區檔案的完整性和密碼準確度。 |
本機伺服器憑證無效。 |
檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。 |
無法公佈指標。 |
檢查對外部雲端服務的本地網路存取。 |
/media/configDrive/hds 目錄不存在。 |
檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。 |
混合資料安全性疑難排解
1 | 複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。 |
2 | 複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。 |
3 | 聯絡Cisco 支援。 |
混合資料安全性的已知問題
如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。
當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。
使用 OpenSSL 產生 PKCS12 檔案
準備工作
OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。
在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。
1 | 當您從 CA 收到伺服器憑證時,將其另存為 |
2 | 將憑證顯示為文字,並驗證詳細資料。
|
3 | 使用文字編輯器建立一個名為
|
4 | 使用易記名稱建立 .p12 檔案
|
5 | 檢查伺服器憑證詳細資料。 |
下一步
返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12
檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。 |
HDS 節點與雲端之間的流量
輸出指標收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。
入埠流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
來自用戶端的加密請求,由加密服務路由
升級至節點軟體
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增 on_unsupported_protocol
指示為 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf
。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
新的和變更的資訊
日期 |
進行的變更 | ||
---|---|---|---|
2023 年 10 月 20 日 |
| ||
2023 年 8 月 7 日 |
| ||
2023 年 5 月 23 日 |
| ||
2022 年 12 月 6 日 |
| ||
2022 年 11 月 23 日 |
| ||
2021 年 10 月 13 日 |
Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。請參閱Docker 桌面需求。 | ||
2021 年 6 月 24 日 |
注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案 獲取詳細資訊。 | ||
2021 年 4 月 30 日 |
已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求 以取得詳細資料。 | ||
2021 年 2 月 24 日 |
HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO 獲取詳細資訊。 | ||
2021 年 2 月 2 日 |
HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。 | ||
2021 年 1 月 11 日 |
新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO 。 | ||
2020 年 10 月 13 日 |
已更新下載安裝檔案。 | ||
2020 年 10 月 8 日 |
已更新為 HDS 主機建立設定ISO 和變更節點組態 用於 FedRAMP 環境的指令。 | ||
2020 年 8 月 14 日 |
已更新為 HDS 主機建立設定ISO 和變更節點組態 登入程序變更。 | ||
2020 年 8 月 5 日 |
已更新測驗您的混合資料安全性部署 了解記錄訊息中的變更。 已更新虛擬主機需求 以移除數目上限的主機。 | ||
2020 年 6 月 16 日 |
已更新移除節點 了解 Control Hub UI 中的變更。 | ||
2020 年 6 月 4 日 |
已更新為 HDS 主機建立設定ISO 了解您可能設定的「進階設定」中的變更。 | ||
2020 年 5 月 29 日 |
已更新為 HDS 主機建立設定ISO 來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。 | ||
2020 年 5 月 5 日 |
已更新虛擬主機需求 以顯示 ESXi 6.5 的新需求。 | ||
2020 年 4 月 21 日 |
已更新外部連線需求 與新的美洲 CI 主機搭配。 | ||
2020 年 4 月 1 日 |
已更新外部連線需求 包含有關區域 CI 主機的資訊。 | ||
2020 年 2 月 20 日 | 已更新為 HDS 主機建立設定ISO 包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。 | ||
2020年2月4日 | 已更新Proxy 伺服器需求。 | ||
2019 年 12 月 16 日 | 明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。 | ||
2019 年 11 月 19 日 |
在以下章節中新增了有關已封鎖外部DNS解析模式的資訊: | ||
2019 年 11 月 8 日 |
現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。 已相應地更新了下列章節:
| ||
2019 年 9 月 6 日 |
新增SQL Server Standard 至資料庫伺服器需求。 | ||
2019 年 8 月 29 日 | 新增設定 Squid Proxy 以實現混合資料安全性 附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。 | ||
2019 年 8 月 20 日 |
新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。 若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援 說明文章。 | ||
2019 年 6 月 13 日 | 已更新試用到生產任務流程 提醒您同步Hds試用群組 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。 | ||
2019 年 3 月 6 日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018 年 11 月 5 日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 |
變更了術語以反映Cisco Spark的品牌更名:
| ||
2018 年 4 月 11 日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017 年 11 月 2 日 |
| ||
2017 年 8 月 18 日 |
首次公佈 |
混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
安全性領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。
為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:
-
用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。
-
訊息在離開用戶端之前會被加密。用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助將來的內容搜尋。
-
加密的訊息傳送至合規服務進行合規檢查。
-
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。
在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。請參閱準備環境 有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。
對部署混合資料安全性的預期
混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
-
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
-
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。如果發生這種情況,您可以建立新的部署,但只會看到新內容。為了避免丟失對資料的存取權,您必須:
-
管理資料庫及設定ISO的備份與復原。
-
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。 |
高階設定過程
此文件涵蓋「混合資料安全性」部署的設定和管理:
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
-
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。
-
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模式
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。(您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)
叢集中可以具有的節點數下限為兩個。我們建議至少三個,您最多可以有五個。具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。
當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。
每個組織僅支援一個叢集。
混合資料安全性試用模式
在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。您的其他使用者將繼續使用雲端安全性領域。
如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。他們將在Webex應用程式中看到「無法解密此訊息」。
如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。試用使用者將繼續有權存取在試用期間使用的金鑰。但是,您無法在生產模式和原始試用版之間來回切換。如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。
作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。 |
設定備用資料中心以進行災害復原
請遵循下列步驟來設定備用資料中心的ISO檔案:
在開始之前
-
備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。(請參閱用於災害復原的備用資料中心 如需此容錯移轉模型的概觀。)
-
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。
1 |
啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。
| ||
2 |
設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 |
於進階設定 頁面,請在下面新增設定以將節點設定為被動模式。在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。
| ||
4 |
完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 |
在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 |
在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 |
按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。
| ||
8 |
開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 |
對備用資料中心中的每個節點重複此過程。
|
下一步
設定後被動模式
在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需被動模式
設定,並將其儲存在安全位置。此ISO檔案副本不含被動模式
已設定可協助災害復原期間的快速容錯移轉過程。請參閱使用待機資料中心進行災害復原 如需詳細的容錯移轉程序,
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址,因此不需要任何變更即可與非檢查 Proxy 搭配使用。無需更新憑證。
-
透通的通道或檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確的 Proxy - 透過明確的 Proxy,您可以告知 HDS 節點使用哪個代理伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。
-
Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。
-
Proxy 通訊協定— 根據您的代理伺服器支援的內容,在下列協議之間選擇:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型- 從以下驗證類型中選擇:
-
無— 不需要進一步的驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
混合資料安全性的需求
Cisco Webex授權需求
若要部署混合資料安全性:
-
您必須安裝Cisco Webex Control Hub的專業版 Pack。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模式。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈結必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
不需要可連線至 CN 或無需實時主持人。我們建議您使用能反映您的組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。 當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。選擇可同時套用於試用和生產部署的網域。 |
|
KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。 |
|
您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。 當您執行 HDS 設定工具時,您將需要輸入密碼。 |
KMS 軟體不強制使用金鑰或擴充金鑰使用限制。部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。可以使用伺服器驗證或其它設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
-
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
-
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。請不要使用預設資料庫。HDS 應用程式在安裝時用於建立資料庫綱要。 |
資料庫伺服器有兩個選項。每個項目的需求如下:
Postgres |
Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) |
至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) |
HDS 軟體目前安裝下列驅動程式版本,以與資料庫伺服器通訊:
Postgres |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例 和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
-
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 |
通訊協定 |
連接埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
出埠 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。 |
通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機:
Region |
通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成混合資料安全性的先決條件
1 |
確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。 | ||
2 |
為您的 HDS 部署選擇網域名稱(例如, | ||
3 |
準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 | ||
4 |
根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。 | ||
5 |
為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 | ||
6 |
設定 syslog 主機以從叢集中的節點收集記錄。收集其網路地址和 syslog 埠(預設值為UDP 514)。 | ||
7 |
為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。
Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。雖然無法防止暫時中斷,但它們是可以恢復的。然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 | ||
8 |
請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 | ||
9 |
安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。您的組織可能需要 Docker 桌面授權。請參閱Docker 桌面需求 獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 | ||
10 |
如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 | ||
11 |
如果您的組織使用目錄同步,請在Active Directory中建立一個名為
|
混合資料安全性部署任務流程
在開始之前
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 | ||
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 | ||
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。
| ||
4 |
登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點,請網路設定。 | ||
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 | ||
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 | ||
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 | ||
8 |
完成叢集設定。 | ||
9 |
執行試用並移至生產 (下一章) 在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。 |
下載安裝檔案
1 |
登入https://admin.webex.com,然後按一下服務。 | ||||
2 |
在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定。 如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。
| ||||
3 |
選取無 以指示您尚未"安裝;設定"該節點,然後按一下下一個。 OVA 檔案自動開始下載。將檔案儲存到您機器上的某個位置。
| ||||
4 |
(可選)按一下開啟部署指南 以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定ISO
「混合資料安全性」設定過程會建立ISO檔案。然後,您可以使用ISO來設定您的「混合資料安全性」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時,都需要此檔案的最新副本:
-
資料庫認證
-
憑證更新
-
授權原則的變更
-
-
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中:
| ||||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||||
6 |
使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後,此工具會顯示標準登入提示。 | ||||||||||||
7 |
提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 | ||||||||||||
8 |
在設定工具概觀頁上,按一下開始使用。 | ||||||||||||
9 |
於ISO匯入 頁面上,您有下列選項:
| ||||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||||
12 |
選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||||
13 |
在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||||
14 |
(可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。一般而言,您可能只需要變更此參數: | ||||||||||||
15 |
按一下繼續 位於重設服務帳戶密碼 螢幕。 服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||||
16 |
按一下下載ISO檔案。將檔案儲存在易於尋找的位置。 | ||||||||||||
17 |
在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||||
18 |
若要關閉「設定」工具,請鍵入 |
下一步
備份組態ISO檔案。您需要它來建立更多節點用於復原,或進行組態變更。如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。 |
安裝 HDS 主機 OVA
1 |
使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 | ||||||
2 |
選取檔案>部署 OVF 範本。 | ||||||
3 |
在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 | ||||||
4 |
於選取名稱和資料夾 頁面上,輸入虛擬機器名稱 用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 | ||||||
5 |
於選取計算資源 頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。完成後,會出現範本詳細資料。 | ||||||
6 |
驗證範本詳細資料,然後按一下下一個。 | ||||||
7 |
如果您被要求在設定 頁面,按一下4 個CPU 然後按一下下一個。 | ||||||
8 |
於選取儲存空間 頁面,按一下下一個 接受預設磁碟格式和VM儲存原則。 | ||||||
9 |
於選取網路 頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 | ||||||
10 |
於自訂範本 頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM 以從節點主控台配置設定。
| ||||||
11 |
在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台 標籤。 VM啟動並出現登入提示。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用以下預設登入和密碼來登入和變更認證: 由於您是首次登入VM ,因此您必須變更管理員密碼。 |
3 |
如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。否則,在主功能表表 中,選取編輯設定 選項。 |
4 |
使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。您的節點應該具有內部IP 位址和DNS名稱。不支援DHCP 。 |
5 |
(可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。 |
6 |
儲存網路組態設定並重新啟動VM以使變更生效。 |
上傳並裝載 HDS 設定ISO
在開始之前
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。請確保僅那些管理員可以存取資料存放區。
1 |
從您的電腦上傳ISO檔案: |
2 |
裝載ISO檔案: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
在開始之前
-
請參閱Proxy 支援 獲取支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。叢集包含一個或多個節點,為提供備援而部署。
在開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 出現「註冊混合資料安全節點」頁。
|
4 |
選取是 以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個。 |
5 |
在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 |
按一下移至節點。 |
8 |
按一下警告訊息中的繼續。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。在這裡,您確認要向Webex組織授予權限,以存取您的節點。
|
9 |
檢查允許存取您的混合資料安全節點 勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
10 |
按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。 於混合資料安全性 頁面上,會顯示包含您註冊的節點的新叢集。節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
目前,您在 中建立的備份 VM完成混合資料安全性的先決條件 是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。有關詳細資訊,請參閱使用待機資料中心進行災害復原。 |
在開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 |
從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 |
在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 |
在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 為新節點提供需要。 |
5 |
註冊節點。 您的節點已註冊。請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。
|
下一步
試用到生產任務流程
"安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。
在開始之前
1 |
如果適用,請同步 如果您的組織為使用者使用目錄同步,則您必須選取 |
2 |
開始試用服務。在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。 |
3 |
檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
4 |
檢查狀態,並"安裝;設定"的電子郵件通知。 |
5 | |
6 |
使用下列動作之一完成試用階段: |
啟動試用服務
在開始之前
如果您的組織為使用者使用目錄同步,則您必須選取Hds試用群組
群組物件以同步到雲端,然後才能為組織開始試用服務。如需相關指示,請參閱Cisco目錄連接器的部署指南。
1 |
登入https://admin.webex.com,然後選取服務。 |
2 |
在混合資料安全性下,按一下設定。 |
3 |
在服務狀態區段中,按一下開始試用。 服務狀態變更為試用模式。
|
4 |
按一下新增使用者 並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。 (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, |
測驗您的混合資料安全性部署
在開始之前
-
設定您的「混合資料安全性」部署。
-
啟用試用服務,並新增多個試用服務使用者。
-
請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。
1 |
給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。
| ||
2 |
傳送訊息至新空間。 | ||
3 |
檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監控混合資料安全性運行狀況
1 |
輸入Control Hub ,選取服務 從螢幕左側的功能表中。 |
2 |
在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 隨即顯示混合資料安全性設定頁面。
|
3 |
在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入。 |
在試用服務中新增或移除使用者
如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。
如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, Hds試用群組
;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。
1 |
登入 Control Hub,然後選取服務。 |
2 |
在混合資料安全性下,按一下設定。 |
3 |
在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯 以從試用服務中移除使用者。 |
4 |
輸入要新增的一個或多個使用者的電子郵件地址,或按一下X 透過使用者 ID將該使用者從試用服務中移除。然後按一下儲存。 |
從試用服務移至生產環境
1 |
登入 Control Hub,然後選取服務。 |
2 |
在混合資料安全性下,按一下設定。 |
3 |
在服務狀態區段中,按一下移至生產環境。 |
4 |
確認您要將所有使用者移至生產環境。 |
在不移至生產的情況下結束試用服務
1 |
登入 Control Hub,然後選取服務。 |
2 |
在混合資料安全性下,按一下設定。 |
3 |
在停用區段中,按一下停用。 |
4 |
確認您要停用服務並結束試用服務。 |
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程:
1 |
登入 Control Hub。 |
2 |
在概觀頁面上的混合服務下,選取混合資料安全性。 |
3 |
在「混合資料安全性資源」頁上,選取叢集。 |
4 |
在右側的概觀面板中,在叢集設定下,選取叢集名稱。 |
5 |
在「設定」頁面上的「升級」下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。如有需要,您可以透過按一下延遲。 |
變更節點組態
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼最多可使用 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
若您僅在執行一個 HDS 節點,建立新的「混合資料安全性」節點VM並使用新的ISO設定檔案進行註冊。如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
在開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup), 輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除VM。(在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。
因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。為了防止此類遺失,必須採取以下做法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
1 |
啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 | ||
2 |
設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 |
於進階設定 頁面,在下面新增設定或移除
| ||
4 |
完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 |
在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含資料庫內容的主加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 |
在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 |
按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。
| ||
8 |
開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 |
對備用資料中心中的每個節點重複此過程。
|
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。但是,有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
在開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料儲存區ISO檔案。 並取消選取 |
4 |
開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 |
依次為每個 HDS 節點重複此操作。 |
檢視警示和疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
-
無法建立新空間(無法建立新鍵)
-
訊息和空間標題無法解密:
-
新使用者新增至空間(無法擷取金鑰)
-
使用新用戶端的空間中的現有使用者(無法擷取金鑰)
-
-
空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多常見情況。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查是否存在資料庫錯誤或本地網路問題。 |
本機資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。 |
存取雲端服務失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
正在更新雲端服務註冊。 |
已刪除對雲端服務的註冊。進行中重新註冊註冊。 |
雲端服務註冊已刪除。 |
已終止向雲端服務註冊。服務正在關閉。 |
服務尚未啟動。 |
啟用試用服務,或完成將試用服務移至生產環境。 |
設定的網域與伺服器憑證不相符。 |
請確保您的伺服器憑證符合設定的服務啟動網域。 最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。 |
無法針對雲端服務進行驗證。 |
檢查服務帳戶認證的準確性及是否可能過期。 |
無法開啟本機金鑰儲存區檔案。 |
檢查本機金鑰存放區檔案的完整性和密碼準確度。 |
本機伺服器憑證無效。 |
檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。 |
無法公佈指標。 |
檢查對外部雲端服務的本地網路存取。 |
/media/configDrive/hds 目錄不存在。 |
檢查虛擬主機上的ISO裝載設定。驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。 |
混合資料安全性疑難排解
1 |
複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。 |
2 |
複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。 |
3 |
聯絡Cisco 支援。 |
混合資料安全性的已知問題
-
如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這適用於試用和生產部署。我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
-
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。
當您將組織的試用服務移至生產時,會發生相同的行為。所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。
使用 OpenSSL 產生 PKCS12 檔案
在開始之前
-
OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。
-
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。請先了解這些需求,然後再繼續。
-
在受支援的環境中安裝 OpenSSL。請參閱https://www.openssl.org 獲取軟體和文件。
-
建立私密金鑰。
-
當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。
1 |
當您從 CA 收到伺服器憑證時,將其另存為 |
2 |
將憑證顯示為文字,並驗證詳細資料。
|
3 |
使用文字編輯器建立一個名為
|
4 |
使用易記名稱建立 .p12 檔案
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回到完成混合資料安全性的先決條件。您將使用hds節點.p12
檔案以及您為該檔案設定的密碼,在為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。 |
HDS 節點與雲端之間的流量
輸出指標收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。
入埠流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
-
來自用戶端的加密請求,由加密服務路由
-
升級至節點軟體
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指示為squid 設定檔
:
on_unsupported_protocol 全部傳送
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump 拼接 wssMercuryConnection acl 步驟 1at_step SSLBump1 acl 步驟 2at_step SSLBump2 acl 步驟 3at_step SSLBump3ssl_bump 全部查看步驟 1ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步
新的和變更的資訊
日期 | 進行的變更 | ||
---|---|---|---|
2023 年 10 月 20 日 |
| ||
2023 年 8 月 7 日 |
| ||
2023 年 5 月 23 日 |
| ||
2022 年 12 月 6 日 |
| ||
2022 年 11 月 23 日 |
| ||
2021 年 10 月 13 日 | Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。 請參閱Docker 桌面需求。 | ||
2021 年 6 月 24 日 | 注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。 請參閱使用 OpenSSL 產生 PKCS12 檔案獲取詳細資訊。 | ||
2021 年 4 月 30 日 | 已將VM對本機硬碟空間的需求變更為 30 GB。 請參閱虛擬主機需求獲取詳細資訊。 | ||
2021 年 2 月 24 日 | HDS 設定工具現在可以在 Proxy 之後執行。 請參閱為 HDS 主機建立設定ISO獲取詳細資訊。 | ||
2021 年 2 月 2 日 | HDS 現在可以在沒有裝載ISO檔案的情況下執行。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。 | ||
2021 年 1 月 11 日 | 新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO 。 | ||
2020 年 10 月 13 日 | 已更新下載安裝檔案。 | ||
2020 年 10 月 8 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態用於 FedRAMP 環境的指令。 | ||
2020 年 8 月 14 日 | 已更新為 HDS 主機建立設定ISO和變更節點組態登入程序變更。 | ||
2020 年 8 月 5 日 | 已更新測驗您的混合資料安全性部署了解記錄訊息中的變更。 已更新虛擬主機需求以移除數目上限的主機。 | ||
2020 年 6 月 16 日 | 已更新移除節點了解 Control Hub UI 中的變更。 | ||
2020 年 6 月 4 日 | 已更新為 HDS 主機建立設定ISO了解您可能設定的「進階設定」中的變更。 | ||
2020 年 5 月 29 日 | 已更新為 HDS 主機建立設定ISO來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。 | ||
2020 年 5 月 5 日 | 已更新虛擬主機需求以顯示 ESXi 6.5 的新需求。 | ||
2020 年 4 月 21 日 | 已更新外部連線需求與新的美洲 CI 主機搭配。 | ||
2020 年 4 月 1 日 | 已更新外部連線需求包含有關區域 CI 主機的資訊。 | ||
2020 年 2 月 20 日 | 已更新為 HDS 主機建立設定ISO包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。 | ||
2020 年 2 月 4 日 | 已更新Proxy 伺服器需求。 | ||
2019 年 12 月 16 日 | 明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。 | ||
2019 年 11 月 19 日 | 在以下章節中新增了有關已封鎖外部DNS解析模式的資訊: | ||
2019 年 11 月 8 日 | 現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。 已相應地更新了下列章節:
| ||
2019 年 9 月 6 日 | 新增SQL Server Standard 至資料庫伺服器需求。 | ||
2019 年 8 月 29 日 | 新增設定 Squid Proxy 以實現混合資料安全性附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。 | ||
2019 年 8 月 20 日 | 新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。 若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援說明文章。 | ||
2019 年 6 月 13 日 | 已更新 試用到生產任務流程提醒您同步 HdsTrialGroup 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。 | ||
2019 年 3 月 6 日 |
| ||
2019 年 2 月 28 日 |
| ||
2019 年 2 月 26 日 |
| ||
2019 年 1 月 24 日 |
| ||
2018 年 11 月 5 日 |
| ||
2018 年 10 月 19 日 |
| ||
2018 年 7 月 31 日 |
| ||
2018 年 5 月 21 日 | 變更了術語以反映Cisco Spark的品牌更名:
| ||
2018 年 4 月 11 日 |
| ||
2018 年 2 月 22 日 |
| ||
2018 年 2 月 15 日 |
| ||
2018 年 1 月 18 日 |
| ||
2017 年 11 月 2 日 |
| ||
2017 年 8 月 18 日 | 首次公佈 |
混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。 此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。 KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。 混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
安全性領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。
為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。 身分識別服務是唯一可讓使用者與其個人資訊(譬如電子郵件地址)直接關聯的位置,在邏輯上和實體上與資料中心B 中的安全領域分離。兩者又與最終儲存加密內容的領域分離。 ,在資料中心C 中。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。 當使用者撰寫要傳送至空間的訊息時,會執行下列步驟:
用戶端建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。 安全連線使用 ECDH,KMS 使用AES-256 主金鑰來加密金鑰。
訊息在離開用戶端之前會被加密。 用戶端將其傳送至索引服務,由該服務建立加密的搜尋索引以協助未來的內容搜尋。
加密的訊息傳送至合規服務進行合規檢查。
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。 構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。 當您的一個使用者請求您的組織擁有的空間的金鑰時(因為它是由您的其中一個使用者建立的),您的 KMS 會透過 ECDH 安全通道將金鑰傳送到用戶端。 但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。
在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。 請參閱準備環境有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。
對部署混合資料安全性的預期
混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
中所述的裝置、軟體和網路存取準備環境。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。 金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。 如果發生這種情況,您可以建立新的部署,但只會看到新內容。 為了避免丟失對資料的存取權,您必須:
管理資料庫及設定ISO的備份與復原。
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。 |
高階設定過程
此文件涵蓋「混合資料安全性」部署的設定和管理:
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。 這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。 您的 IT 部門可以為此部署提供第一層支援,並視需要聯絡Cisco 支援。 您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模式
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。 節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程期間,我們會提供給您的 OVA 檔案,以在您提供的 VM 上"安裝;設定"虛擬裝置。 您可以使用 HDS 設定工具來建立自訂叢集組態ISO檔案,該檔案將安裝在每個節點上。 混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。 (您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)
叢集中可以具有的節點數下限為兩個。 我們建議至少三個,您最多可以有五個。 具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。 ( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都會存取相同的金鑰資料儲存區,並將活動記錄到相同的 syslog 伺服器中。 節點本身是無狀態的,並按照雲端的指示以輪循方式處理關鍵請求。
當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。 若要使個別節點停止服務,您可以將其取消註冊,然後在需要時重新註冊。
每個組織僅支援一個叢集。
混合資料安全性試用模式
在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。 在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。 您的其他使用者將繼續使用雲端安全性領域。
如果您決定在試用期間不繼續部署並停用服務,則試用使用者以及在試用期間透過建立新空間與之互動的任何使用者將失去對訊息和內容的存取權。 他們將在Webex應用程式中看到「無法解密此訊息」。
如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。 試用使用者將繼續有權存取在試用期間使用的金鑰。 但是,您無法在生產模式和原始試用版之間來回切換。 如果您必須停用服務(例如執行災害復原),那麼在重新啟動時,您必須開始新的試用服務並"安裝;設定"新試用服務的試用使用者集,然後再移回生產模式。 使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。 如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。
作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。 備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。 因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。 |
設定備用資料中心以進行災害復原
請遵循下列步驟來設定備用資料中心的ISO檔案:
準備工作
備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 (請參閱用於災害復原的備用資料中心如需此容錯移轉模型的概觀。)
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。
| ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於進階設定頁面,請在下面新增設定以將節點設定為被動模式。 在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
設定後 passiveMode
在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需 passiveMode
設定,並將其儲存在安全位置。 此ISO檔案副本不含 passiveMode
已設定可協助災害復原期間的快速容錯移轉過程。 請參閱 使用待機資料中心進行災害復原如需詳細的容錯移轉程序,
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。 您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。 在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
無 Proxy — 在不使用 HDS 節點設定「信任儲存庫和 Proxy」設定來整合 Proxy 的情況下的預設值。 無需更新憑證。
透通的非檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址,並且不應要求進行任何變更以使用非檢查 Proxy。 無需更新憑證。
透通通道或檢查 Proxy — 節點未設定為使用特定的 Proxy 伺服器位址。 不需要在節點上變更 HTTP 或 HTTPS 設定。 但是,節點需要根憑證以便信任 Proxy。 IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。 這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
明確 Proxy — 可使用明確 Proxy 告知 HDS 節點使用哪個 Proxy 伺服器和驗證配置。 若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
Proxy IP/FQDN — 可用於存取 Proxy 機器的位址。
Proxy 連接埠 — Proxy 用於接聽 Proxy 流量的連接埠號。
Proxy 通訊協定 — 根據 Proxy 伺服器支援的內容,從以下通訊協定中選擇:
HTTP — 檢視並控制用戶端傳送的所有請求。
HTTPS — 提供通往伺服器的通道。 用戶端接收並驗證伺服器的憑證。
驗證類型 — 從以下驗證類型中選擇:
無 — 無需進一步驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
基本 — 供 HTTP 使用者代理用來在發出請求時提供使用者名稱和密碼。 使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
摘要式 — 用於在傳送機密資訊之前確認帳戶。 在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。 對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。 在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
混合資料安全性的需求
Cisco Webex授權需求
若要部署混合資料安全性:
您必須安裝Cisco Webex Control Hub的專業版 Pack。 (請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。 Docker 最近更新了其授權模式。 您的組織可能需要付費訂閱 Docker Desktop。 如需獲取詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和擴充我們的產品訂閱」 。
X.509 憑證需求
憑證鏈結必須符合下列需求:
需求 | 詳細資訊 |
---|---|
| 依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
| 不需要可連線至 CN 或無需實時主持人。 我們建議您使用能反映您的組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。 叢集中的所有「混合資料安全性」節點使用相同的憑證。 您的 KMS 使用 CN 網域來識別自己,而不是使用 x.509v3 SAN 欄位中定義的任何網域。 當您使用此憑證註冊節點後,我們不支援變更 CN網域名稱。 選擇可同時套用於試用和生產部署的網域。 |
| KMS 軟體不支援用於驗證與其他組織的 KMS 的連線的 SHA1 簽章。 |
| 您可以使用轉換器(例如 OpenSSL)來變更憑證的格式。 當您執行 HDS 設定工具時,您將需要輸入密碼。 |
KMS 軟體不強制使用金鑰或擴充金鑰使用限制。 部分憑證授權單位要求將擴充的金鑰使用限制套用到每個憑證,例如伺服器驗證。 可以使用伺服器驗證或其它設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。 請不要使用預設資料庫。 HDS 應用程式在安裝時用於建立資料庫綱要。 |
資料庫伺服器有兩個選項。 每個項目的需求如下:
Postgres | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) | 至少 8 個 vCPU、16 GB 主記憶體、足夠的硬碟空間並進行監控以確保不超過(如果您想要長時間執行資料庫而無需增加儲存體,則建議使用 2 TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
Postgres | Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 | SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。 請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。 當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 | 通訊協定 | 連接埠 | 來自應用程式的方向 | 目標 |
---|---|---|---|---|
混合資料安全節點 | TCP | 443 | 出埠 HTTPS 和 WSS |
|
HDS 設定工具 | TCP | 443 | 出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。 對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。 在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。 |
通用身份識別 (CI) 主機的 URL 是特定於地區的。 這些是當前 CI 主機:
地區 | 通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
Proxy 伺服器要求
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
透通 Proxy — Cisco 網路安全設備 (WSA)。
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾建立 websocket (wss:) 連線。 若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
我們支援明確 Proxy 的以下驗證類型組合:
不使用 HTTP 或 HTTPS 進行驗證
使用 HTTP 或 HTTPS 進行基本驗證
僅使用 HTTPS 進行摘要式驗證
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。 本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。 如果發生此問題,請略過(而非檢查)流量至
wbx2.com
和ciscospark.com
將解決問題。
完成混合資料安全性的先決條件
1 | 確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。 請聯絡您的Cisco合作夥伴或客戶經理以尋求有關此程序的說明。 | ||
2 | 為您的 HDS 部署選擇網域名稱(例如, | ||
3 | 準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。 您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 | ||
4 | 根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。 資料庫伺服器必須與虛擬主機共置在安全資料中心內。 | ||
5 | 為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。 備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。 例如,如果生產環境有 3 個 VM 執行 HDS 節點,則備份環境應該有 3 個 VM。 | ||
6 | 設定 syslog 主機以從叢集中的節點收集記錄。 收集其網路地址和 syslog 埠(預設值為UDP 514)。 | ||
7 | 為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。 為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。
Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。 雖然無法防止暫時中斷,但它們是可以恢復的。 然而,資料庫或設定ISO檔案的完全遺失(無可用的備份)將導致客戶資料無法復原。 「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 | ||
8 | 請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 | ||
9 | 安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統: http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。 您的組織可能需要 Docker 桌面授權。 請參閱Docker 桌面需求獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 | ||
10 | 如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 | ||
11 | 如果您的組織使用目錄同步,請在Active Directory中建立一個名為
|
混合資料安全性部署任務流程
準備工作
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 | ||
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 | ||
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。
| ||
4 |
登入VM主控台並設定登入認證。 如果在部署 OVA 時未設定節點,請網路設定。 | ||
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 | ||
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 | ||
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 | ||
8 |
完成叢集設定。 | ||
9 | 執行試用並移至生產(下一章) 在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。 |
下載安裝檔案
1 | 登入https://admin.webex.com,然後按一下服務。 | ||||
2 | 在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定。 如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。 將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。 若要尋找帳號,請按一下右上方您的組織名稱旁的齒輪。
| ||||
3 | 選取無以指示您尚未"安裝;設定"該節點,然後按一下下一個。 OVA 檔案自動開始下載。 將檔案儲存到您機器上的某個位置。
| ||||
4 | (可選)按一下開啟部署指南以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定ISO
「混合資料安全性」設定過程會建立ISO檔案。 然後,您可以使用ISO來設定您的「混合資料安全性」主機。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。 每當您進行下列設定變更時,都需要此檔案的最新副本:
資料庫認證
憑證更新
授權原則的變更
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 | 在機器的指令行中,輸入適合您環境的指令: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
2 | 若要登入 Docker 映像登錄,請輸入下列項目:
| ||||||||||||
3 | 在密碼提示中,輸入此雜湊:
| ||||||||||||
4 | 下載適用於您環境的最新穩定映像: 在一般環境中:
在 FedRAMP 環境中:
| ||||||||||||
5 | 提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||||
6 |
使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。 然後,此工具會顯示標準登入提示。 | ||||||||||||
7 | 提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入以允許存取「混合資料安全性」所需的服務。 | ||||||||||||
8 | 在設定工具概觀頁上,按一下開始使用。 | ||||||||||||
9 | 於ISO匯入頁面上,您有下列選項:
| ||||||||||||
10 | 檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||||
11 | 輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||||
12 | 選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。 該工具還會驗證憑證簽署者和主機名稱(如果適用)。 如果測驗失敗,該工具會顯示說明問題的錯誤訊息。 您可以選擇是否忽略該錯誤並繼續進行設定。 (由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||||
13 | 在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||||
14 | (可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。 一般而言,您可能只需要變更此參數:
| ||||||||||||
15 | 按一下繼續位於重設服務帳戶密碼螢幕。 服務帳戶密碼的使用期限為 9 個月。 當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||||
16 | 按一下下載ISO檔案。 將檔案儲存在易於尋找的位置。 | ||||||||||||
17 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||||
18 | 若要關閉安裝工具,請鍵入 |
下一步
備份組態ISO檔案。 您需要它來建立更多節點用於復原,或進行組態變更。 如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。 無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。 |
安裝 HDS 主機 OVA
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 | ||||||
2 | 選取檔案>部署 OVF 範本。 | ||||||
3 | 在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 | ||||||
4 | 於選取名稱和資料夾頁面上,輸入虛擬機器名稱用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 | ||||||
5 | 於選取計算資源頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。 完成後,會出現範本詳細資料。 | ||||||
6 | 驗證範本詳細資料,然後按一下下一個。 | ||||||
7 | 如果您被要求在設定頁面,按一下4 個CPU然後按一下下一個。 | ||||||
8 | 於選取儲存空間頁面,按一下下一個接受預設磁碟格式和VM儲存原則。 | ||||||
9 | 於選取網路頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 | ||||||
10 | 於自訂範本頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM以從節點主控台配置設定。
| ||||||
11 | 在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。 您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。 首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。 如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 | 在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點VM並選取主控台標籤。 VM啟動並出現登入提示。 如果沒有顯示登入提示,請按 Enter 鍵。
|
2 | 使用以下預設登入和密碼來登入和變更認證: 由於您是首次登入VM ,因此您必須變更管理員密碼。 |
3 | 如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。 否則,在主功能表表 中,選取編輯設定選項。 |
4 | 使用IP 位址、遮罩、閘道 和DNS資訊設定靜態組態。 您的節點應該具有內部IP 位址和DNS名稱。 不支援DHCP 。 |
5 | (可選)視需要變更主機名稱、網域或NTP 伺服器以符合您的網路原則。 您不需要將網域設定為與用於獲取 X.509 憑證的網域相符。 |
6 | 儲存網路組態設定並重新啟動VM以使變更生效。 |
上傳並裝載 HDS 設定ISO
準備工作
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。 請確保僅那些管理員可以存取資料存放區。
1 | 從您的電腦上傳ISO檔案: |
2 | 裝載ISO檔案: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。 請參閱(可選)在 HDS 配置後解除掛載ISO獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。 如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。 您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
準備工作
請參閱Proxy 支援獲取支援的 Proxy 選項的概觀。
1 | 輸入 HDS 節點設定URL |
2 | 轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 | 按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。 按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 | 按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。 預期在許多明確的 Proxy 設定中會出現這種情況。 您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。 如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 | 連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。 此設定需要 15 秒才能生效。 |
6 | 按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 | 節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。 如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
註冊叢集中的第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。 叢集包含一個或多個節點,為提供備援而部署。
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 | 從螢幕左側的功能表中,選取服務。 |
3 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 出現「註冊混合資料安全節點」頁。
|
4 | 選取是以表示您已"安裝;設定"節點並準備註冊它,然後按一下下一個。 |
5 | 在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。 譬如: 「舊金山」或「紐約」或「達拉斯」 |
6 | 在第二個欄位中,輸入節點的內部IP 位址或完整網域名稱(FQDN),然後按一下下一個。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 | 按一下移至節點。 |
8 | 按一下警告訊息中的繼續。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。 如果所有測試都成功,會出現「允許存取混合資料安全節點」頁。 在這裡,您確認要向Webex組織授予權限,以存取您的節點。
|
9 | 檢查允許存取您的混合資料安全節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
10 | 按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。 於混合資料安全性頁面上,會顯示包含您註冊的節點的新叢集。 節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
目前,您在 中建立的備份 VM完成混合資料安全性的先決條件是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。 有關詳細資訊,請參閱使用待機資料中心進行災害復原。 |
準備工作
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | 從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 | 在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 | 在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 | 如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合為新節點提供需要。 |
5 | 註冊節點。 您的節點已註冊。 請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。
|
下一步
試用到生產任務流程
"安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。
準備工作
1 | 如果適用,請同步 如果您的組織為使用者使用目錄同步,則您必須選取 |
2 |
開始試用服務。 在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。 |
3 |
檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
4 |
檢查狀態,並"安裝;設定"的電子郵件通知。 |
5 | |
6 | 使用下列動作之一完成試用階段: |
啟動試用服務
準備工作
如果您的組織為使用者使用目錄同步,則您必須選取 HdsTrialGroup
群組物件以同步到雲端,然後才能為組織開始試用服務。 如需相關指示,請參閱 Cisco目錄連接器的部署指南。
1 | 登入https://admin.webex.com,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下開始試用。 服務狀態變更為試用模式。
|
4 | 按一下新增使用者並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。 (若您的組織使用目錄同步,請使用Active Directory來管理試用群組, |
測驗您的混合資料安全性部署
準備工作
設定您的「混合資料安全性」部署。
啟用試用服務,並新增多個試用服務使用者。
請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。
1 | 給定空間的金鑰由空間的建立者設定。 以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。
| ||
2 | 傳送訊息至新空間。 | ||
3 | 檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監控混合資料安全性運行狀況
1 | 輸入Control Hub ,選取服務從螢幕左側的功能表中。 |
2 | 在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 隨即顯示混合資料安全性設定頁面。
|
3 | 在電子郵件通知區段中,鍵入以逗號分隔的一個或多個電子郵件地址,然後按輸入。 |
在試用服務中新增或移除使用者
如果您從試用服務中移除使用者,則使用者的用戶端將請求從雲端 KMS 而非您的 KMS 建立金鑰和金鑰建立。 如果用戶端需要儲存在 KMS 上的金鑰,雲端 KMS 將代表使用者擷取該金鑰。
如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, HdsTrialGroup
;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區域的試用模式區段中,按一下新增使用者,或按一下檢視及編輯以從試用服務中移除使用者。 |
4 | 輸入要新增的一個或多個使用者的電子郵件地址,或按一下X透過使用者 ID將該使用者從試用服務中移除。 然後按一下儲存。 |
從試用服務移至生產環境
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在服務狀態區段中,按一下移至生產環境。 |
4 | 確認您要將所有使用者移至生產環境。 |
在不移至生產的情況下結束試用服務
1 | 登入 Control Hub,然後選取服務。 |
2 | 在混合資料安全性下,按一下設定。 |
3 | 在停用區段中,按一下停用。 |
4 | 確認您要停用服務並結束試用服務。 |
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程:
1 | 登入 Control Hub。 |
2 | 在概觀頁面上的混合服務下,選取混合資料安全性。 |
3 | 在「混合資料安全性資源」頁上,選取叢集。 |
4 | 在右側的概觀面板中,在叢集設定下,選取叢集名稱。 |
5 | 在「設定」頁面上的「升級」下,選取升級排程的時間和時區。 附註: 在「時區」下,會顯示下一可用升級日期和時間。 需要的話,您可以透過按一下「延遲」,將升級延遲至次日。 |
變更節點組態
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。 網域必須符合用來註冊叢集的原始網域。
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。 若要切換資料庫環境,請啟動混合資料安全的新部署。
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。 在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。 如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。 (電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
軟重設 — 舊密碼和新密碼同時有效,最多 10 天。 使用此時段逐步取代節點上的 ISO 檔案。
硬重設 — 舊密碼會立即停止作用。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
準備工作
「HDS 設定」工具在本端機器上作為 Docker 容器執行。 若要加以存取,請執行該機器上的 Docker。 設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。 此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS Proxy 不含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP Proxy 含驗證
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS Proxy 含驗證
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
您需要一份現行設定 ISO 檔案才能產生新設定。 ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。 當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 | 在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 | 如果您只有一個 HDS 節點在執行中,請建立新的混合資料安全節點虛擬機器,並使用新的設定 ISO 檔案來註冊此虛擬機器。 如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 | 針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。 請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 | 重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。 如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
準備工作
1 | 在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup),輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 | 轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 | 轉至信任儲存庫和 Proxy 頁面。 |
4 | 按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。 否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 | 使用電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機,並關閉虛擬機器。 |
2 | 移除節點: |
3 | 在 vSphere 用戶端中,刪除VM。 (在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。 如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。 對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。 叢集還負責將其建立的金鑰返回給任何獲得授權的使用者,例如對話空間的成員。
因為叢集執行提供這些金鑰的關鍵功能,所以叢集必須保持執行並維護正確的備份。 混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。 為了防止此類遺失,必須採取以下做法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
1 | 啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 | ||
2 | 設定完 Syslogd 伺服器後,按一下進階設定 | ||
3 | 於 進階設定頁面,在下面新增設定或移除
| ||
4 | 完成設定過程並將ISO檔案儲存在易於尋找的位置。 | ||
5 | 在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。 此檔案包含資料庫內容的主加密金鑰。 僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||
6 | 在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 | ||
7 | 按一下編輯設定 > CD/ DVD驅動器 1並選取資料儲存區ISO檔案。
| ||
8 | 開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 | ||
9 | 對備用資料中心中的每個節點重複此過程。
|
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。 但是,有些客戶不希望讓ISO檔案持續掛載。 您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。 當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。 當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
準備工作
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 | 關閉其中一個 HDS 節點。 |
2 | 在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 | 選擇資料儲存區ISO檔案。 並取消選取 |
4 | 開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 | 依次為每個 HDS 節點重複此操作。 |
檢視警示和疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。 如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
無法建立新空間(無法建立新鍵)
訊息和空間標題無法解密:
新使用者新增至空間(無法擷取金鑰)
使用新用戶端的空間中的現有使用者(無法擷取金鑰)
空間中的現有使用者將繼續成功執行,只要其用戶端具有加密金鑰的快取
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。 警示涵蓋許多常見情況。
警示 | 動作 |
---|---|
本端資料庫存取失敗。 |
檢查是否存在資料庫錯誤或本地網路問題。 |
本機資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中使用了正確的服務帳戶憑證。 |
存取雲端服務失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
正在更新雲端服務註冊。 |
已刪除對雲端服務的註冊。 進行中重新註冊註冊。 |
雲端服務註冊已刪除。 |
向雲端服務的註冊已終止。 服務正在關閉。 |
服務尚未啟動。 |
啟用試用服務,或完成將試用服務移至生產環境。 |
設定的網域與伺服器憑證不相符。 |
請確保您的伺服器憑證符合設定的服務啟動網域。 最可能的原因是憑證 CN 最近已變更,現在與初始設定期間使用的 CN 不同。 |
無法針對雲端服務進行驗證。 |
檢查服務帳戶認證的準確性及是否可能過期。 |
無法開啟本機金鑰儲存區檔案。 |
檢查本機金鑰存放區檔案的完整性和密碼準確度。 |
本機伺服器憑證無效。 |
檢查伺服器憑證的到期日,並確認它是由受信任的憑證授權單位核發的。 |
無法公佈指標。 |
檢查對外部雲端服務的本地網路存取。 |
/media/configDrive/hds 目錄不存在。 |
檢查虛擬主機上的ISO裝載設定。 驗證ISO檔案是否存在、是否已設定為在重新啟動時裝載以及是否成功裝載。 |
混合資料安全性疑難排解
1 | 複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。 |
2 | 複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。 |
3 | 聯絡Cisco 支援。 |
混合資料安全性的已知問題
如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。 這適用於試用和生產部署。 我們目前沒有此問題的因應措施或修正程式,因此建議您不要在 HDS 服務正在處理使用中的使用者帳戶時關閉這些服務。
與 KMS 具有現有 ECDH 連線的用戶端會將該連線維護一段時間(可能是一個小時)。 當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。 或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。
當您將組織的試用服務移至生產時,會發生相同的行為。 所有與先前資料安全性服務之間存在 ECDH 連線的非試用使用者將繼續使用這些服務,直到 ECDH 連線被重新協商(透過逾時或登出再登入)。
使用 OpenSSL 產生 PKCS12 檔案
準備工作
OpenSSL 是一款可用於使 PKCS12 檔案採用正確格式的工具,以便在 HDS 設定工具中載入。 可使用其他方式執行此操作,我們不支援或宣傳一種方式優於另一種方式。
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。 請先了解這些需求,然後再繼續。
在受支援的環境中安裝 OpenSSL。 請參閱https://www.openssl.org獲取軟體和文件。
建立私密金鑰。
當您從憑證授權單位(CA) 收到伺服器憑證時,開始執行此流程。
1 | 當您從 CA 收到伺服器憑證時,將其另存為 |
2 | 將憑證顯示為文字,並驗證詳細資料。
|
3 | 使用文字編輯器建立一個名為
|
4 | 使用易記名稱建立 .p12 檔案
|
5 | 檢查伺服器憑證詳細資料。 |
下一步
返回到 完成混合資料安全性的先決條件。 您將使用 hdsnode.p12
檔案以及您為該檔案設定的密碼,在 為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。 |
HDS 節點與雲端之間的流量
輸出指標收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。 這些包括堆最大值、堆已使用、 CPU負載和執行緒數的系統指標;同步與異步執行緒的指標;警示的指標,涉及加密連線、延遲或請求佇列長度的臨界值;資料儲存區的指標;和加密連線指標。 節點會透過頻外(獨立於請求)通道傳送加密的金鑰資料。
入埠流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
來自用戶端的加密請求,由加密服務路由
升級至節點軟體
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。 這些章節提供有關如何將各個版本的 Squid 設定為忽略的指南。 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增 on_unsupported_protocol
指示為 squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
我們成功測試了混合資料安全性,其中新增了以下規則 squid.conf
。 這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
前言
新的和變更的資訊
日期 |
進行的變更 |
---|---|
2023 年 10 月 20 日 |
|
2023 年 8 月 7 日 |
|
2023 年 5 月 23 日 |
|
2022 年 12 月 6 日 |
|
2022 年 11 月 23 日 |
|
2021 年 10 月 13 日 |
Docker Desktop 需要先執行設定程式,然後才能安裝 HDS 節點。請參閱Docker 桌面需求。 |
2021 年 6 月 24 日 |
注意到您可以重複使用私密金鑰檔案和CSR代表來申請另一個憑證。請參閱使用 OpenSSL 產生 PKCS12 檔案 獲取詳細資訊。 |
2021 年 4 月 30 日 |
已將VM對本機硬碟空間的需求變更為 30 GB。請參閱虛擬主機需求 獲取詳細資訊。 |
2021 年 2 月 24 日 |
HDS 設定工具現在可以在 Proxy 之後執行。請參閱為 HDS 主機建立設定ISO 獲取詳細資訊。 |
2021 年 2 月 2 日 |
HDS 現在可以在沒有裝載ISO檔案的情況下執行。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。 |
2021 年 1 月 11 日 |
新增了有關 HDS 設定工具和 Proxy 的資訊,為 HDS 主機建立設定ISO 。 |
2020 年 10 月 13 日 |
已更新下載安裝檔案。 |
2020 年 10 月 8 日 |
已更新為 HDS 主機建立設定ISO 和變更節點組態 用於 FedRAMP 環境的指令。 |
2020 年 8 月 14 日 |
已更新為 HDS 主機建立設定ISO 和變更節點組態 登入程序變更。 |
2020 年 8 月 5 日 |
已更新測驗您的混合資料安全性部署 了解記錄訊息中的變更。 已更新虛擬主機需求 以移除數目上限的主機。 |
2020 年 6 月 16 日 |
已更新移除節點 了解 Control Hub UI 中的變更。 |
2020 年 6 月 4 日 |
已更新為 HDS 主機建立設定ISO 了解您可能設定的「進階設定」中的變更。 |
2020 年 5 月 29 日 |
已更新為 HDS 主機建立設定ISO 來顯示您也可以將TLS用於SQL Server 資料庫、UI 變更及其他說明。 |
2020 年 5 月 5 日 |
已更新虛擬主機需求 以顯示 ESXi 6.5 的新需求。 |
2020 年 4 月 21 日 |
已更新外部連線需求 與新的美洲 CI 主機搭配。 |
2020 年 4 月 1 日 |
已更新外部連線需求 包含有關區域 CI 主機的資訊。 |
2020 年 2 月 20 日 | 已更新為 HDS 主機建立設定ISO 包含有關 HDS 設定工具中新的可選進階設定螢幕的資訊。 |
2020年2月4日 | 已更新Proxy 伺服器需求。 |
2019 年 12 月 16 日 | 明確了「封鎖外部DNS解析模式」在Proxy 伺服器需求。 |
2019 年 11 月 19 日 |
在以下章節中新增了有關已封鎖外部DNS解析模式的資訊: |
2019 年 11 月 8 日 |
現在,您可以在部署 OVA 時而不是在部署之後為節點網路設定。 已相應地更新了下列章節: 在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。 |
2019 年 9 月 6 日 |
新增SQL Server Standard 至資料庫伺服器需求。 |
2019 年 8 月 29 日 | 新增設定 Squid Proxy 以實現混合資料安全性 附錄,其中包含有關設定 Squid Proxy 以忽略 WebSocket 流量以實現正常操作的指南。 |
2019 年 8 月 20 日 |
新增和更新了章節,以涵蓋對Webex雲端的混合資料安全節點通訊的 Proxy 支援。 若要僅存取現有部署的 Proxy 支援內容,請參閱混合資料安全性和Webex視訊網格的 Proxy 支援 說明文章。 |
2019 年 6 月 13 日 | 已更新試用到生產任務流程 提醒您同步Hds試用群組 如果您的組織使用目錄同步,則在開始試用之前先刪除群組物件。 |
2019 年 3 月 6 日 |
|
2019 年 2 月 28 日 |
|
2019 年 2 月 26 日 |
|
2019 年 1 月 24 日 |
|
2018 年 11 月 5 日 |
|
2018 年 10 月 19 日 |
|
2018 年 7 月 31 日 |
|
2018 年 5 月 21 日 |
變更了術語以反映Cisco Spark的品牌更名:
|
2018 年 4 月 11 日 |
|
2018 年 2 月 22 日 |
|
2018 年 2 月 15 日 |
|
2018 年 1 月 18 日 |
|
2017 年 11 月 2 日 |
|
2017 年 8 月 18 日 |
第一次發佈 |
混合資料安全性入門
混合資料安全性概觀
從第一天開始,資料安全性一直是設計Webex應用程式的主要焦點。此安全性的基礎是端對端內容加密,由Webex應用程式用戶端與金鑰管理服務 (KMS) 互動來啟用。KMS 負責建立及管理客戶用來動態加密和解密訊息與檔案的加密金鑰。
預設情況下,所有Webex應用程式客戶都會獲得端對端加密,使用儲存在雲端 KMS 中的動態金鑰(在 Cisco 安全領域中)。混合資料安全會將 KMS 及其他安全相關功能移至您的企業資料中心,因此只有您才持有加密內容的金鑰。
安全領域架構
Webex雲端架構將不同類型的服務分成不同的領域或信任網域,如下所述。
為了進一步了解混合資料安全性,讓我們先來看看這個純雲端案例,Cisco在該案例中提供其云端領域的所有功能。身分識別服務是使用者可在其中直接與其個人資訊(例如電子郵件地址)產生關聯的唯一空間,它在邏輯上和實體上都與資料中心 B 中的安全領域分隔。這兩者又與加密內容最終在資料中心 C 中儲存所在的領域分隔。
在此圖表中,用戶端是在使用者膝上型電腦上執行的Webex應用程式,並且已使用身分服務進行驗證。當使用者撰寫訊息以傳送至空間時,會採取下列步驟:
-
用戶端會建立與金鑰管理服務 (KMS) 的安全連線,然後請求金鑰來加密訊息。安全連線使用 ECDH,而 KMS 使用 AES-256 主要金鑰來加密金鑰。
-
訊息在離開用戶端之前已加密。用戶端將它傳送至索引服務,該服務會建立加密的搜尋索引來協助在未來搜尋內容。
-
加密的訊息會傳送至相符性服務進行相符性檢查。
-
加密的訊息儲存在儲存領域中。
部署混合資料安全性時,您會將安全領域功能(KMS、索引及合規)移至內部部署資料中心。構成Webex的其他雲端服務(包括身分和內容儲存)仍在 Cisco 的領域內。
與其他組織協作
您組織中的使用者可能會定期使用Webex應用程式與其他組織中的外部參加者協作。當其中一個使用者請求由您組織所擁有之某個空間的金鑰時(因為它是由您的其中一個使用者建立的),KMS 會透過 ECDH 保護的通道將金鑰傳送至用戶端。但是,當另一個組織擁有空間的金鑰時,您的 KMS 會透過單獨的 ECDH 通道將請求路由到Webex雲端,以從相應的 KMS 獲取金鑰,然後在原始通道上將金鑰返回給您的使用者。
在組織 A 上執行的 KMS 服務會驗證與其他組織中使用 x.509 PKI 憑證的 KMS 的連線。請參閱準備環境 有關生成 x.509 憑證以用於「混合資料安全性」部署的詳細資訊。
部署混合資料安全性的意外狀況
混合資料安全性部署需要大量客戶,並且需要了解擁有加密金鑰帶來的風險。
若要部署混合資料安全性,您必須提供:
-
位於以下國家/地區的安全資料中心: Cisco Webex Teams計劃支援的位置。
完全遺失您為「混合資料安全性」建立的設定ISO或您提供的資料庫將導致金鑰遺失。金鑰遺失可防止使用者在Webex應用程式中解密空間內容及其他加密資料。如果發生此情況,您可以組建新部署,但只有新的內容才可見。若要避免失去資料存取權,您必須:
-
管理資料庫及設定 ISO 的備份與復原。
-
準備在發生災害(例如資料庫磁碟故障或資料中心災害)時執行快速災害復原。
沒有任何機制可在部署 HDS 後將金鑰移回雲端。
高階設定程序
此文件涵蓋「混合資料安全性」部署的設定和管理:
設定混合資料安全性— 這包括準備所需的基礎架構和安裝混合資料安全性軟體,與處於試用模式的使用者子集一起測試您的部署,以及在完成測試後移至生產。這會將整個組織轉換為使用您的「混合資料安全性」叢集來實現安全性功能。
接下來的三章將詳細涵蓋設定、試用和生產階段。
-
維護您的混合資料安全性部署— Webex雲端自動提供持續升級。IT 部門可以向此部署提供一級支援人員,並視需要雇用 Cisco 支援人員。您可以在 Control Hub 中使用螢幕通知,並"安裝;設定"基於電子郵件的警示。
-
了解常見警報、疑難排解步驟和已知問題— 如果您在部署或使用混合資料安全性時遇到問題,本指南的最後一章和已知問題附錄可能會協助您確定和修正問題。
混合資料安全性部署模型
在企業資料中心內,您可以將混合資料安全性部署為不同虛擬主機上的單個節點叢集。節點透過安全 WebSocket 和安全 HTTP 與Webex雲端通訊。
在安裝過程中,我們向您提供 OVA 檔以在您提供的 VM 上設定虛擬設備。使用「HDS 設定工具」來建立您在每個節點上裝載的自訂叢集設定 ISO 檔案。混合資料安全叢集使用您提供的 Syslogd 伺服器以及 PostgreSQL 或Microsoft SQL Server 資料庫。(您在 HDS 設定工具中配置 Syslogd 和資料庫連線詳細資訊。)
叢集中至少可以有 2 個節點。我們建議每個叢集至少三個。具有多個節點可確保在節點上的軟體升級或其他維護活動期間服務不會中斷。( Webex雲端一次僅升級一個節點。)
叢集中的所有節點都能夠存取同一金鑰資料庫,並將活動記錄到同一 syslog 伺服器。節點本身是無狀態的,並且以循環配置資源方式處理金鑰請求,如雲端所指示。
當您在 Control Hub 中註冊節點時,節點即會變為活躍狀態。若要讓個別節點暫停服務,您可以視需要將它取消註冊,稍後再重新註冊。
我們只支援每個組織一個叢集。
混合資料安全性試用模式
在設定「混合資料安全性」部署後,您首先與一組試用使用者一起嘗試。在試用期間,這些使用者將內部部署混合資料安全網域用於加密金鑰及其他安全領域服務。您的其他使用者繼續使用雲端安全領域。
如果您決定在試用期間不繼續進行部署並停用服務,則試驗使用者以及在試用期間透過建立新空間與之互動的任何使用者都將無法存取訊息和內容。他們將在Webex應用程式中看到「無法解密此訊息」。
如果您滿意您的部署適用於試用使用者,並且您已準備好將「混合資料安全性」延伸至所有使用者,您可以將部署移至生產。試驗使用者繼續擁有試用期間所使用金鑰的存取權。但是,您無法在正式作業模式與原始試用模式之間來回切換。如果必須停用服務(例如以便執行嚴重損壞復原),則在重新啟動時,您必須啟動新的試用版並設定新試用版的試驗使用者集,然後才能移回正式作業模式。使用者此時是否保留對資料的存取權取決於您是否已為叢集中的「混合資料安全性」節點成功維護關鍵資料存放區區的備份和ISO組態檔。
用於災害復原的備用資料中心
在部署期間,您"安裝;設定"安全待命資料中心。如果資料中心發生災害,您可以手動將部署故障轉移至備用資料中心。
作用中與待命資料中心的資料庫會相互同步,這將最大限度減少執行容錯移轉的時間。備用資料中心的ISO檔案會使用其他設定更新,以確保節點已向組織註冊,但不會處理流量。因此,備用資料中心的節點始終使用最新版本的 HDS 軟體保持最新。
作用中的混合資料安全節點必須總是與作用中的資料資料庫伺服器位於相同的資料中心內。
設定備用資料中心以進行災害復原
請遵循下列步驟來設定備用資料中心的ISO檔案:
開始之前
-
備用資料中心應鏡像 VM 的生產環境以及備份 PostgreSQL 或Microsoft SQL Server 資料庫。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。(請參閱用於災害復原的備用資料中心 如需此容錯移轉模型的概觀。)
-
請確保在主動與被動叢集節點的資料庫之間啟用資料庫同步。
1 |
啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 ISO檔案必須是主資料中心的原始ISO檔案的副本,要在其上進行以下設定更新。 |
2 |
設定完 Syslogd 伺服器後,按一下進階設定 |
3 |
於進階設定 頁面,請在下面新增設定以將節點設定為被動模式。在此模式下,節點將向組織註冊並連線至雲端,但不會處理任何流量。
|
4 |
完成設定過程並將ISO檔案儲存在易於尋找的位置。 |
5 |
在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 |
6 |
在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 |
7 |
按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。 確保已連線 和開啟電源時連接 會檢查,以便更新的組態變更可以在啟動節點後生效。 |
8 |
開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 |
9 |
對備用資料中心中的每個節點重複此過程。 檢查 syslog 以驗證節點是否處於被動模式。您應該能夠在 syslog 中檢視訊息「KMS 已以被動模式設定」。 |
下一步
設定後被動模式
在ISO檔案中並儲存,您可以建立另一個ISO檔案副本,而無需被動模式
設定,並將其儲存在安全位置。此ISO檔案副本不含被動模式
已設定可協助災害復原期間的快速容錯移轉過程。請參閱使用待機資料中心進行災害復原 如需詳細的容錯移轉程序,
Proxy 支援
混合資料安全支援明確透通檢查 Proxy 和非檢查 Proxy。您可以將這些 Proxy 連結到您的部署,以便能夠保護和監控從企業流向雲端的流量。在節點上設定 Proxy 後,您可以使用節點上的平台管理介面來管理憑證並檢查整體連線狀態。
混合資料安全節點支援以下 Proxy 選項:
-
無 Proxy — 如果您不使用 HDS 節點設定信任儲存和 Proxy 組態來整合 Proxy,則為預設值。無需更新憑證。
-
透通的非檢查 Proxy — 節點未設定為使用特定的代理伺服器位址,因此不需要任何變更即可與非檢查 Proxy 搭配使用。無需更新憑證。
-
透通的通道或檢查 Proxy — 節點未設定為使用特定的代理伺服器位址。不需要在節點上變更 HTTP 或 HTTPS 設定。但是,節點需要根憑證以便信任 Proxy。IT 部門通常使用檢查 Proxy 來強制執行關於可以存取哪些網站以及不允許使用哪些類型的內容的政策。這種類型的 Proxy 會解密您的所有流量(甚至是 HTTPS)。
-
明確的 Proxy - 透過明確的 Proxy,您可以告知 HDS 節點使用哪個代理伺服器和驗證方案。若要設定明確 Proxy,您必須在每個節點上輸入以下資訊:
-
Proxy IP/FQDN — 可用於聯絡 Proxy 機器的地址。
-
Proxy 埠- Proxy 用來偵聽 Proxy 流量的連接埠號碼。
-
Proxy 通訊協定— 根據您的代理伺服器支援的內容,在下列協議之間選擇:
-
HTTP — 檢視並控制用戶端傳送的所有請求。
-
HTTPS — 提供通往伺服器的通道。用戶端接收並驗證伺服器的憑證。
-
-
驗證類型- 從以下驗證類型中選擇:
-
無— 不需要進一步的驗證。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
-
基本- 用於 HTTP 使用者代理以在提出請求時提供使用者名稱和密碼。使用 Base64 編碼。
如果您選取 HTTP 或 HTTPS 作為 Proxy 通訊協定,則此選項可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
摘要- 用於在傳送敏感資訊之前確認帳戶。在透過網路傳送之前,對使用者名稱和密碼套用雜湊函數。
僅在您選取 HTTPS 作為 Proxy 通訊協定時可用。
要求您在每個節點上輸入使用者名稱和密碼。
-
-
混合資料安全節點和 Proxy 的範例
此圖顯示了混合資料安全、網路和 Proxy 之間的連線範例。對於透通檢查和 HTTPS 明確檢查 Proxy 選項,必須在 Proxy 和混合資料安全節點上安裝相同的根憑證。
已封鎖外部 DNS 解析模式(明確 Proxy 設定)
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。在內部用戶端明確進行 Proxy 設定以不允許外部 DNS 解析的部署中,如果節點無法查詢 DNS 伺服器,則會自動進入封鎖的外部 DNS 解析模式。在此模式下,節點註冊和其他 Proxy 連線測試可以繼續進行。
準備您的環境
混合資料安全性的需求
Cisco Webex授權需求
若要部署混合資料安全性:
-
您必須安裝Cisco Webex Control Hub的專業版 Pack。(請參閱https://www.cisco.com/go/pro-pack。)
Docker 桌面需求
安裝 HDS 節點之前,需要 Docker Desktop 來執行安裝程式。Docker 最近更新了其授權模式。您的組織可能需要為 Docker 桌面付費訂閱。有關詳細資訊,請參閱 Docker 部落格文章「 Docker 正在更新和延伸我們的產品訂閱 」。
X.509 憑證需求
憑證鏈必須符合下列需求:
需求 |
詳細資訊 |
---|---|
|
依預設,我們信任 Mozilla 清單中的 CA(WoSign 和 StartCom 除外),https://wiki.mozilla.org/CA:IncludedCAs 。 |
|
CN 不需要能夠存取或不需要活動主機。建議您使用能夠反映您組織的名稱,例如, CN 不能包含 *(萬用字元)。 CN 用於驗證Webex應用程式用戶端的混合資料安全性節點。叢集中的所有「混合資料安全性」節點使用相同的憑證。KMS 使用 CN 網域而非定義在 x.509v3 SAN 欄位中的任何網域來識別自身。 使用此憑證註冊節點之後,我們便不支援變更 CN 網域名稱。請選擇可同時套用於試用部署及正式作業部署的網域。 |
|
KMS 軟體不支援使用 SHA1 簽章來驗證與其他組織的 KMS 的連線。 |
|
可使用轉換程式(例如 OpenSSL)來變更您的憑證格式。 您在執行「HDS 設定工具」時必須輸入密碼。 |
KMS 軟體不會強制施行金鑰使用或延伸金鑰使用限制。部分憑證授權單位要求對每個憑證套用延伸金鑰使用限制,例如伺服器驗證。可以使用伺服器驗證或其他設定。
虛擬主機需求
您將在叢集中"安裝;設定"為「混合資料安全性」節點的虛擬主機具有以下需求:
-
至少有兩個獨立的主機(建議 3 個)共置在同一個安全資料中心
-
VMware ESXi 6.5(或更高版本)已安裝且正在執行。
如果您具有較舊的 ESXi 版本,則必須升級。
-
每部伺服器至少 4 個 vCPU、8 GB 主記憶體和 30 GB 本地硬碟空間
資料庫伺服器需求
建立金鑰儲存的新資料庫。請不要使用預設資料庫。安裝的 HDS 應用程式會建立資料庫綱目。
資料庫伺服器有兩個選項。每個項目的需求如下:
Postgres |
Microsoft SQL Server |
---|---|
|
|
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
最少要有 8 個 vCPU、16-GB 主要記憶體、足夠的硬碟空間以及監視功能才能確保它未被超過(如果您要長時間執行資料庫而無需增加儲存空間,則建議使用 2-TB) |
HDS 軟體目前安裝下列驅動程式版本以與資料庫伺服器通訊:
Postgres |
Microsoft SQL Server |
---|---|
Postgres JDBC 驅動程式 42.2.5 |
SQL Server JDBC 驅動程式 4.6 此驅動程式版本支援SQL Server Always On(永不間斷的容錯移轉叢集實例 和AlwaysOn 可用性群組)。 |
針對Microsoft SQL Server 的 Windows 驗證的其他需求
如果您希望 HDS 節點使用 Windows 驗證來獲得對Microsoft SQL Server 上的金鑰儲存庫資料庫的存取權,則需要在您的環境中進行以下設定:
-
HDS 節點、 Active Directory基礎結構和 MS SQL Server 必須全部與NTP同步。
-
您提供給 HDS 節點的 Windows 帳戶必須具有資料庫的讀/寫存取權。
-
您提供給 HDS 節點的DNS伺服器必須能夠解析您的金鑰分發中心 (KDC)。
-
您可以在Active Directory上將Microsoft SQL Server 上的 HDS 資料庫實例註冊為服務主體名稱 (SPN)。請參閱註冊 Kerberos 連線的服務主體名稱。
HDS 設定工具、HDS 啟動程式和本機 KMS 都需要使用 Windows 驗證來存取金鑰儲存區資料庫。當透過 Kerberos 身份驗證請求存取權時,他們會使用您ISO設定的詳細資料來構造 SPN。
外部連線需求
設定您的防火牆,以允許 HDS 應用程式進行以下連線:
應用程式 |
通訊協定 |
埠 |
來自應用程式的方向 |
目標 |
---|---|---|---|---|
混合資料安全節點 |
TCP |
443 |
外撥 HTTPS 和 WSS |
|
HDS 設定工具 |
TCP |
443 |
出埠 HTTPS |
|
「混合資料安全性」節點可與網路存取轉換 (NAT) 搭配使用,或在防火牆後使用,只要 NAT 或防火牆允許上表中的網域目標所需的出埠連線。對於進入混合資料安全節點的連線,從網際網路中看不到任何埠。在您的資料中心內,用戶端需要存取TCP埠 443 和 22 上的「混合資料安全」節點,以進行管理。
通用身份識別 (CI) 主機的 URL 是特定於地區的。這些是當前 CI 主機:
區域 |
通用身份識別主持人 URL |
---|---|
美洲 |
|
歐盟 |
|
加拿大 |
|
Proxy 伺服器要求
-
我們正式支援以下可與您的混合資料安全節點整合的 Proxy 解決方案。
-
透通 Proxy — Cisco 網路安全設備 (WSA)。
-
明確 Proxy — Squid。
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 Websocket (wss:) 連線的建立。若要解決此問題,請參閱設定 Squid Proxy 以實現混合資料安全性。
-
-
我們支援明確 Proxy 的以下驗證類型組合:
-
不使用 HTTP 或 HTTPS 進行驗證
-
使用 HTTP 或 HTTPS 進行基本驗證
-
僅使用 HTTPS 進行摘要式驗證
-
-
對於透通檢查 Proxy 或 HTTPS 明確 Proxy,您必須擁有一份 Proxy 的根憑證。本指南中的部署說明指示您如何將這份根憑證上傳到混合資料安全節點的信任儲存庫。
-
必須將託管 HDS 節點的網路設定為強制連接埠 443 上的出站 TCP 流量透過 Proxy 進行路由。
-
檢查網路流量的 Proxy 可能會干擾網路通訊端連線。如果發生此問題,則繞過(而不是檢查)流向
wbx2.com
和ciscospark.com
的流量可以解決問題。
完成「混合資料安全性」的必要條件
1 |
確保您的Webex組織啟用了適用於Cisco Webex Control Hub的專業版 Pack ,並獲取具有完整組織管理員權限的帳戶的憑證。請聯絡 Cisco 合作夥伴或帳戶管理員以取得協助來處理此程序。 |
2 |
為您的 HDS 部署選擇網域名稱(例如, |
3 |
準備將在叢集中"安裝;設定"為「混合資料安全性」節點的相同虛擬主機。您需要至少兩個獨立的主機(建議 3 個)共置在同一個安全資料中心,且符合虛擬主機需求。 |
4 |
根據以下要求,準備將充當叢集主要資料存放區區的資料資料庫伺服器:資料庫伺服器需求。資料庫伺服器必須與虛擬主機共置在安全資料中心內。 |
5 |
為了進行快速的災害復原,請在其他資料中心"安裝;設定"備份環境。備份環境可鏡像 VM 的生產環境和備份資料庫伺服器。例如,如果正式作業有 3 個執行 HDS 節點的 VM,則備份環境應該要有 3 個 VM。 |
6 |
設定一個 syslog 主機以從叢集中的節點收集日誌。收集其網路位址和 syslog 埠(預設值是 UDP 514)。 |
7 |
為「混合資料安全性」節點、資料庫伺服器和 syslog 主機建立安全備份原則。為了防止無法復原的資料遺失,您必須至少備份資料庫以及為「混合資料安全性」節點產生的設定ISO檔案。 因為「混合資料安全性」節點儲存了用於內容加密和解密的金鑰,所以無法維持可運作的部署將導致無法復原的遺失 該內容的。 Webex應用程式用戶端會緩存其金鑰,因此中斷可能不會立即明顯,但隨著時間的推移會變得明顯。雖然無法阻止暫時中斷,但它們可以復原。但是,資料庫或設定 ISO 檔案完全流失(沒有可用的備份)將造成客戶資料無法復原。「混合資料安全性」節點的操作人員應維護資料庫及設定ISO檔案的頻繁備份,並準備在發生災難性故障時重建「混合資料安全性」資料中心。 |
8 |
請確保您的防火牆設定允許「混合資料安全性」節點的連線,如 中所述。外部連線需求。 |
9 |
安裝 Docker (https://www.docker.com ) 在執行支援的 OS(Microsoft Windows 10 專業版或企業版 64 位元,或 Mac OSX Yosemite 10.10.3 或更高版本)的任何本地機器上,且 Web 瀏覽器可在下列位置存取該作業系統:http://127.0.0.1:8080. 您可以使用 Docker 實例來下載並執行 HDS 設定工具,該工具將為所有「混合資料安全性」節點建立本端設定組態資訊。您的組織可能需要 Docker 桌面授權。請參閱Docker 桌面需求 獲取更多資訊。 若要安裝並執行 HDS 設定工具,本機必須具有外部連線需求。 |
10 |
如果您要整合 Proxy 與混合資料安全性,請確保它符合Proxy 伺服器需求。 |
11 |
如果您的組織使用目錄同步,請在 Active Directory 中建立一個名為 給定空間的金鑰由空間的建立者設定。選取試驗使用者時,請記住,如果您決定永久停用「混合資料安全性」部署,則所有使用者都將失去對由試驗使用者建立的空間中內容的存取權。只要使用者的應用程式重新整理其快取的內容副本,該損失就會變得很明顯。 |
設定混合資料安全性叢集
混合資料安全性部署任務流程
開始之前
1 |
將 OVA 檔案下載到您的本地機器以供稍後使用。 |
2 |
使用 HDS 設定工具為「混合資料安全性」節點建立ISO組態檔。 |
3 |
從 OVA 檔案建立虛擬機器並執行初始設定,例如網路設定。 在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。 |
4 |
登入VM主控台並設定登入認證。如果在部署 OVA 時未設定節點,請網路設定。 |
5 |
從您使用 HDS 設定工具建立的ISO組態檔設定VM 。 |
6 |
若網路環境需要 Proxy 設定,請指定用於節點的 Proxy 類型,並在需要時將 Proxy 憑證新增至信任儲存區。 |
7 |
將VM向Cisco Webex Cloud 註冊為「混合資料安全性」節點。 |
8 |
完成叢集設定。 |
9 |
執行試用並移至生產 (下一章) 在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。 |
下載安裝檔案
1 |
登入 https://admin.webex.com,然後按一下服務。 |
2 |
在「混合服務」區段中,找到「混合資料安全性」卡片,然後按一下設定。 如果卡片已停用或您看不到它,請聯絡您的客戶團隊或合作夥伴組織。將您的帳號提供給他們,並要求為您的組織啟用混合資料安全性。若要尋找帳號,請按一下右上方位於您組織名稱旁邊的齒輪。 您也可以隨時從說明 區段上的設定 頁面。在混合資料安全性卡片上,按一下編輯設定 以開啟頁面。然後,按一下下載「混合資料安全性」軟體 在說明 區段。 較舊版本的軟體套件 (OVA) 將與最新的「混合資料安全性」升級不相容。這可能會導致升級應用程式時發生問題。請確保下載最新版本的 OVA 檔案。 |
3 |
選取無 以指示您尚未"安裝;設定"該節點,然後按一下下一個。 OVA 檔會自動開始下載。將檔案儲存至您機器上的位置。
|
4 |
(可選)按一下開啟部署指南 以檢查是否有本指南可用的較新版本。 |
為 HDS 主機建立設定 ISO
「混合資料安全性」設定過程會建立ISO檔案。然後,您可以使用ISO來設定您的「混合資料安全性」主機。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,請在 中啟動 Docker 容器時,透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 5 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您產生的組態ISO檔案包含加密 PostgreSQL 或Microsoft SQL Server 資料庫的主金鑰。每當您進行下列設定變更時,都需要此檔案的最新副本:
-
資料庫認證
-
憑證更新
-
授權原則的變更
-
-
如果您計劃加密資料庫連線,請針對TLS"安裝;設定"PostgreSQL 或SQL Server 部署。
1 |
在機器的指令行中,輸入適合您環境的指令: 在一般環境中: 在 FedRAMP 環境中: 此步驟會清理先前的 HDS 設定工具映像。如果沒有先前的映像,則會返回錯誤,但您可加以忽略。 | ||||||||||
2 |
若要登入 Docker 映像登錄,請輸入下列項目: | ||||||||||
3 |
在密碼提示中,輸入此雜湊: | ||||||||||
4 |
下載適用於您環境的最新穩定映像: 在一般環境中: 在 FedRAMP 環境中: | ||||||||||
5 |
提取完成後,輸入適用於您環境的指令:
當儲存器在執行中時,您會看到「Express Server 正在連接埠 8080 上接聽」。 | ||||||||||
6 |
設定工具不支援透過以下方式連線至 本地主機: http://localhost:8080 。使用http://127.0.0.1:8080 以連線至 本地主機。 使用 Web 瀏覽器轉至 本地主機, 此工具會使用這第一個使用者名稱項目來為該帳戶設定正確的環境。然後,此工具會顯示標準登入提示。 | ||||||||||
7 |
提示時,輸入 Control Hub 客戶管理員登入認證,然後按一下登入 以允許存取「混合資料安全性」所需的服務。 | ||||||||||
8 |
在「設定工具」概觀頁面上,按一下入門。 | ||||||||||
9 |
於ISO匯入 頁面上,您有下列選項:
| ||||||||||
10 |
檢查您的 X.509 憑證是否符合X.509 憑證需求。
| ||||||||||
11 |
輸入 HDS 的資料庫位址和帳戶以存取您的金鑰資料存放區: | ||||||||||
12 |
選取一個TLS資料庫連線模式:
當您上傳根憑證(如有必要)並按一下繼續,HDS 設定工具會測驗與資料庫伺服器的TLS連線。該工具還會驗證憑證簽署者和主機名稱(如果適用)。如果測驗失敗,該工具會顯示說明問題的錯誤訊息。您可以選擇是否忽略該錯誤並繼續進行設定。(由於連線差異,即使 HDS 設定工具機器無法成功測試,HDS 節點也可能能夠建立TLS連線。) | ||||||||||
13 |
在系統記錄頁上,設定您的 Syslogd 伺服器: | ||||||||||
14 |
(可選)您可以在 中變更某些資料庫連線參數的預設值:進階設定。一般而言,您可能只需要變更此參數: | ||||||||||
15 |
按一下繼續 位於重設服務帳戶密碼 螢幕。 服務帳戶密碼的使用期限為 9 個月。當您的密碼即將到期或您想要重設密碼以使先前的ISO檔案失效時,使用此螢幕。 | ||||||||||
16 |
按一下下載 ISO 檔。將檔案儲存在易於尋找的位置。 | ||||||||||
17 |
在您的本地系統上製作ISO檔案的備份。 確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 | ||||||||||
18 |
若要關閉設定工具,請按 |
下一步
備份設定 ISO 檔。您需要它來建立更多節點用於復原,或進行組態變更。如果您丟失了ISO檔案的所有副本,則您也會丟失主金鑰。無法從 PostgreSQL 或Microsoft SQL Server 資料庫中復原金鑰。
我們從不擁有此金鑰的副本,如果您遺失了它,我們將無能為力。
安裝 HDS 主機 OVA
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機。 |
2 |
選取檔案>部署 OVF 範本。 |
3 |
在精靈中,指定您之前下載的 OVA 檔案的位置,然後按一下下一個。 |
4 |
於選取名稱和資料夾 頁面上,輸入虛擬機器名稱 用於節點(例如「HDS_否ode_1"),選擇虛擬機器節點部署可駐留的位置,然後按一下下一個。 |
5 |
於選取計算資源 頁面上,選擇目標計算資源,然後按一下下一個。 執行驗證檢查。完成後,會出現範本詳細資料。 |
6 |
驗證範本詳細資料,然後按一下下一個。 |
7 |
如果您被要求在設定 頁面,按一下4 個CPU 然後按一下下一個。 |
8 |
於選取儲存空間 頁面,按一下下一個 接受預設磁碟格式和VM儲存原則。 |
9 |
於選取網路 頁面上,從項目清單中選擇網路選項以提供所需的VM連線。 |
10 |
於自訂範本 頁面,設定下列網路設定:
如果願意,您可以跳過網路設定,並遵循設定混合資料安全VM 以從節點主控台配置設定。 在 OVA 部署期間網路設定的選項已針對 ESXi 6.5 進行測試。該選項在早期版本中可能不可用。 |
11 |
在節點VM上按一下滑鼠右鍵,然後選擇 。混合資料安全性軟體作為訪客安裝在VM主機上。您現在已準備好登入主控台並設定節點。 疑難排解提示 在節點容器啟動之前,您可能會遇到幾分鐘延遲。首次啟動期間,橋接器防火牆訊息會出現在主控台上,在此期間您無法登入。 |
設定混合資料安全性 VM
使用此流程首次登入「混合資料安全性」節點VM主控台並設定登入認證。如果在部署 OVA 時您未設定網路設定,您也可以使用主控台來設定節點的網路設定。
1 |
在 VMware vSphere 用戶端中,選取您的「混合資料安全性」節點 VM 並選取主控台標籤。 VM 會啟動且登入提示會出現。如果沒有顯示登入提示,請按 Enter 鍵。
|
2 |
使用下列預設登入和密碼來登入和變更認證: 由於您是首次登入您的 VM,因此您需要變更管理員密碼。 |
3 |
如果您已在 中網路設定安裝 HDS 主機 OVA ,請跳過此程序的其餘部分。否則,在主功能表表 中,選取編輯設定 選項。 |
4 |
使用 IP 位址、遮罩、閘道和 DNS 資訊來設定靜態設定。您的節點應該具有內部 IP 位址及 DNS 名稱。不支援DHCP 。 |
5 |
(選用)根據需要變更主機名稱、網域或 NTP 伺服器以符合您的網路策略。 您不需要設定網域來符合用來取得 X.509 憑證的網域。 |
6 |
儲存網路設定並重新啟動 VM 讓變更生效。 |
上傳及裝載 HDS 設定 ISO
開始之前
因為ISO檔案包含主金鑰,所以只應在「需要知道」的情況下公開它,以供混合資料安全性 VM 和任何可能需要變更的管理員存取。確保只有那些管理員才能存取資料儲存庫。
1 |
從您的電腦上傳 ISO 檔: |
2 |
裝載 ISO 檔: |
下一步
如果您的 IT 策略需要,您可以選擇性地在所有節點選取組態變更之後解除裝載ISO檔案。請參閱(可選)在 HDS 配置後解除掛載ISO 獲取詳細資訊。
設定 HDS 節點以進行 Proxy 整合
如果網路環境需要 Proxy,請使用此過程指定要與混合資料安全整合的 Proxy 類型。如果選擇透通檢查 Proxy 或 HTTPS 明確 Proxy,則您可以使用節點的介面來上傳和安裝根憑證。您還可以從介面檢查 Proxy 連線,並針對任何潛在問題進行疑難排解。
開始之前
-
請參閱Proxy 支援 獲取支援的 Proxy 選項的概觀。
1 |
在 Web 瀏覽器中輸入 HDS 節點設定 URL |
2 |
轉至信任儲存庫和 Proxy,然後選擇一個選項:
針對透通檢查 Proxy、使用基本驗證的 HTTP 明確 Proxy 或 HTTPS 明確 Proxy,請遵循後續步驟進行操作。 |
3 |
按一下上傳根憑證或最終實體憑證,然後導覽以選擇 Proxy 的根憑證。 憑證已上傳但尚未安裝,因為您必須重新啟動節點才能安裝憑證。按一下憑證簽發者姓名的 V 形箭頭以獲取更多詳細資訊,或者,如果您失誤並想重新上傳檔案,則按一下刪除。 |
4 |
按一下檢查 Proxy 連線以測驗節點與 Proxy 之間的網路連線。 如果連線測驗失敗,您將看到一則錯誤訊息,顯示錯誤原因以及如何更正問題。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器。預期在許多明確的 Proxy 設定中會出現這種情況。您可以繼續設定,且節點將在封鎖的外部 DNS 解析模式下運作。如果您認為這是錯誤,請完成以下步驟,然後請參閱關閉「封鎖的外部DNS解析模式」 。 |
5 |
連線測驗通過後,針對僅設為 https 的明確 Proxy,請打開開關以透過明確 Proxy 來路由來自此節點的所有連接埠 443/444 https 請求。此設定需要 15 秒才能生效。 |
6 |
按一下將所有憑證安裝到信任儲存庫(顯示給 HTTPS 明確 Proxy 或透通檢查 Proxy)或重新啟動(顯示給 HTTP 明確 Proxy),閱讀提示,然後在準備妥當後按一下安裝。 節點會在幾分鐘內重新啟動。 |
7 |
節點重新啟動後,如有需要,請再次登入,然後開啟概觀頁面檢查連線以確保它們都處於綠色狀態。 Proxy 連線檢查只會測驗 webex.com 的子網域。如果存在連線問題,則常見問題是安裝說明中列出的某些雲端網域在 Proxy 處被封鎖。 |
在叢集中註冊第一個節點
註冊第一個節點時,您會建立將獲指定節點的叢集。一個叢集包含一個以上部署以提供備援的節點。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 | |
2 |
從螢幕左側的功能表中,選取服務。 |
3 |
在「混合服務」區段中,找到混合資料安全性,然後按一下設定。 即會顯示「註冊混合資料安全性節點」頁面。
|
4 |
選取是指出您已設定節點且準備好註冊它,然後按下一步。 |
5 |
在第一個欄位中,輸入您要向其指派「混合資料安全性」節點的叢集的名稱。 我們建議您根據叢集節點所在的地理位置來命名叢集。範例:「舊金山」或「紐約」或「達拉斯」 |
6 |
在第二個欄位中,輸入節點的內部 IP 位址或完整網域名稱 (FQDN),然後按下一步。 此IP 位址或 FQDN 應該符合您在 中使用的IP 位址或主機名稱和網域。設定混合資料安全VM 。 將出現一則訊息,指出您可以向Webex註冊您的節點。
|
7 |
按一下移至節點。 |
8 |
按一下警告訊息中的繼續。 稍待片刻後,您被重新導向至Webex服務的節點連線測試。如果所有測試都成功,則會顯示「允許存取混合資料安全性節點」頁面。在這裡,您確認要向Webex組織授予權限,以存取您的節點。
|
9 |
勾選允許存取您的混合資料安全性節點勾選方塊,然後按一下繼續。 您的帳戶已驗證,且「註冊完成」訊息表示您的節點現已向Webex雲端註冊。
|
10 |
按一下該鏈結或關閉標籤以返回 Control Hub 混合資料安全性頁面。 在混合資料安全性頁面上,會顯示包含您所註冊節點的新叢集。該節點將自動從雲端下載最新的軟體。
|
建立並註冊更多節點
目前,您在 中建立的備份 VM完成混合資料安全性的先決條件 是僅在發生災害復原時使用的備用主機;在此之前,他們不會向系統註冊。有關詳細資訊,請參閱使用待機資料中心進行災害復原。
開始之前
-
一旦開始註冊節點,就必須在 60 分鐘內完成註冊,否則就必須從頭再來。
-
確保瀏覽器中的任何快顯視窗攔截程式都已停用,或者您允許 admin.webex.com 的例外。
1 |
從 OVA 建立新的虛擬機器,重複中的步驟安裝 HDS 主機 OVA 。 |
2 |
在新的VM上設定初始設定,重複中的步驟設定混合資料安全VM 。 |
3 |
在新的VM上,重複中的步驟上傳並裝載 HDS 設定ISO 。 |
4 |
如果要為部署設定 Proxy,請重複設定 HDS 節點以進行 Proxy 整合 為新節點提供需要。 |
5 |
註冊節點。 您的節點已註冊。請注意,在您開始試用之前,您的節點會產生警報,指出您的服務尚未啟動。
|
下一步
執行試用版並移至正式作業
試用到生產任務流程
"安裝;設定"「混合資料安全性」叢集後,您可以開始試用,向其中新增使用者,並開始使用它來測試和驗證您的部署,為移至生產環境做準備。
開始之前
1 |
如果適用,請同步 如果您的組織為使用者使用目錄同步,則您必須選取 |
2 |
開始試用服務。在您執行此工作之前,您的節點會產生警報,指出服務尚未啟動。 |
3 |
檢查金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
4 |
檢查狀態,並"安裝;設定"的電子郵件通知。 |
5 | |
6 |
使用下列動作之一完成試用階段: |
啟動試用版
開始之前
如果您的組織為使用者使用目錄同步,您必須選取 HdsTrialGroup
群組物件以同步至雲端,然後您才能為您的組織啟動試用版 。如需相關指示,請參閱Cisco目錄連接器的部署指南。
1 |
登入 https://admin.webex.com,然後選取服務。 |
2 |
在混合資料安全性下,按一下設定。 |
3 |
在「服務狀態」區段中,按一下啟動試用版。 服務狀態會變更為試用模式。
|
4 |
按一下新增使用者 並輸入一個或多個使用者的電子郵件地址,以試用您的「混合資料安全性」節點用於加密和索引服務。 (如果您的組織使用目錄同步,請使用 Active Directory 來管理試用群組 |
測試混合資料安全性部署
開始之前
-
設定您的「混合資料安全性」部署。
-
啟動試用版,並新增數個試用使用者。
-
請確保您有權存取 syslog,以驗證密鑰請求是否正在傳遞至您的混合資料安全性部署。
1 |
給定空間的金鑰由空間的建立者設定。以其中一個試用使用者身分登入Webex應用程式,然後建立空間並邀請至少一位試用使用者和一位非試用使用者。 如果您停用「混合資料安全性」部署,則一旦取代了用戶端快取的加密金鑰副本,就無法再存取由試用使用者建立的空間中的內容。 |
2 |
將訊息傳送至新空間。 |
3 |
檢查 syslog 輸出,以驗證金鑰請求是否正在傳遞至「混合資料安全性」部署。 |
監視混合資料安全性的性能
1 |
輸入Control Hub ,選取服務 從螢幕左側的功能表中。 |
2 |
在 Hybrid Services 區段中,找到「混合資料安全性」並按一下設定。 即會顯示「混合資料安全性設定」頁面。
|
3 |
在「電子郵件通知」區段中,輸入一或多個電子郵件地址並用逗點區隔,然後按 Enter 鍵。 |
在您的試用版中新增或移除使用者
如果您從試用版移除某個使用者,則該使用者的用戶端將從雲端 KMS 而不是您的 KMS 請求金鑰和金鑰建立。如果用戶端需要儲存在 KMS 上的金鑰,則雲端 KMS 將代表使用者擷取該金鑰。
如果您的組織使用目錄同步,請使用Active Directory (而不是此程序)來管理試用群組, Hds試用群組
;您可以在 Control Hub 中檢視群組成員,但無法新增或移除他們。
1 |
登入 Control Hub,然後選取服務。 |
2 |
在混合資料安全性下,按一下設定。 |
3 |
在「服務狀態」區域的「試用模式」區段中,按一下新增使用者,或按一下檢視並編輯以從試用版移除使用者。 |
4 |
輸入要新增的一或多個使用者的電子郵件地址,或按一下使用者 ID 旁邊的 X 以從試用版中移除使用者。然後按一下「儲存」。 |
從試用版移至正式作業
1 |
登入 Control Hub,然後選取服務。 |
2 |
在混合資料安全性下,按一下設定。 |
3 |
在「服務狀態」區段中,按一下移至正式作業。 |
4 |
確認您要將所有使用者移至正式作業。 |
結束試用而不移至正式作業
1 |
登入 Control Hub,然後選取服務。 |
2 |
在混合資料安全性下,按一下設定。 |
3 |
在「停用」區段中,按一下停用。 |
4 |
確認要停用服務並結束試用。 |
管理您的 HDS 部署
管理 HDS 部署
使用這裡描述的任務來管理您的「混合資料安全性」部署。
設定叢集升級排程
若要設定升級排程,請執行下列動作:
1 |
登入 Control Hub。 |
2 |
在「概觀」頁面上的 Hybrid Services 下,選取混合資料安全性。 |
3 |
在「混合資料安全性資源」頁上,選取叢集。 |
4 |
在右側「概觀」面板上的「叢集設定」下,選取叢集名稱。 |
5 |
在「設定」頁面上的「升級」下,選取升級排程的時間和時區。 附註:在「時區」下,會顯示下一可用升級日期和時間。需要的話,您可以透過按一下延遲,將升級延遲至次日。 |
變更節點設定
-
由於到期或其他原因而變更 x.509 憑證。
我們不支援變更憑證的 CN 網域名稱。網域必須符合用來註冊叢集的原始網域。
-
更新資料庫設定,以變更為 PostgreSQL 或 Microsoft SQL Server 資料庫的複本。
我們不支援將資料從 PostgreSQL 移轉至 Microsoft SQL Server,反之亦然。若要切換資料庫環境,請啟動混合資料安全的新部署。
-
建立新的設定以準備新的資料中心。
同樣地,出於安全性考量,混合資料安全使用有效期限為九個月的服務帳戶密碼。在 HDS 設定工具產生這些密碼後,您要將這些密碼作為 ISO 設定檔案的一部分部署至每個 HDS 節點。如果組織的密碼接近過期,您會收到 Webex 團隊發出的通知,要求您重設機器帳戶的密碼。(電子郵件包括文字「使用機器帳戶 API 來更新密碼。」)如果您的密碼尚未過期,此工具會提供以下兩個選項:
-
軟重設— 舊密碼和新密碼最多可使用 10 天。使用此時段逐步取代節點上的 ISO 檔案。
-
硬重設— 舊密碼立即失效。
如果密碼過期而不重設,則會影響您的 HDS 服務,要求立即在所有節點上硬重設和取代 ISO 檔案。
使用此程序來產生新的設定 ISO 檔並將它套用至您的叢集。
在開始之前
-
「HDS 設定」工具在本端機器上作為 Docker 容器執行。若要加以存取,請執行該機器上的 Docker。設定程式需要擁有貴組織完整管理員許可權的 Control Hub 帳戶憑證。
如果 HDS 設定工具在您的環境中的 Proxy 之後執行,當在 中啟動 Docker 容器時,請透過 Docker 環境變數提供 Proxy 設定(伺服器、通訊埠、憑證)。 1.e 。此表格提供了一些可能的環境變數:
說明
變數
HTTP Proxy 不含驗證
全球_代理_HTTP_ PROXY=http://SERVER_ IP:埠
HTTPS Proxy 不含驗證
全球_代理_HTTPS_ PROXY=http://SERVER_ IP:埠
HTTP Proxy 含驗證
全球_代理_HTTP_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
HTTPS Proxy 含驗證
全球_代理_HTTPS_ PROXY=http://USERNAME:PASSWORD@SERVER_ IP:埠
-
您需要一份現行設定 ISO 檔案才能產生新設定。ISO 包含加密 PostgreSQL 或 Microsoft SQL Server 資料庫的主要金鑰。當您變更設定(包括資料庫認證、憑證更新項目或變更授權策略)時需要 ISO。
1 |
在本端機器上使用 Docker 來執行「HDS 設定」工具。 |
2 |
若您僅在執行一個 HDS 節點,建立新的「混合資料安全性」節點VM並使用新的ISO設定檔案進行註冊。如需更詳細的指示,請參閱建立並註冊更多節點。 |
3 |
針對執行較舊設定檔的現有 HDS 節點,裝載 ISO 檔案。請在每個節點上執行下列程序,更新每個節點,然後再關閉下一個節點: |
4 |
重複步驟 3 以取代每個正在執行舊設定的剩餘節點上的設定。 |
關閉封鎖的外部 DNS 解析模式
當您註冊節點或檢查節點的 Proxy 設定時,此程序會測試 DNS 查找以及與 Cisco Webex 雲端的連線。如果節點的 DNS 伺服器無法解析公用 DNS 名稱,則節點會自動進入封鎖的外部 DNS 解析模式。
如果節點能夠透過內部 DNS 伺服器解析公用 DNS 名稱,則您可以在每個節點上重新執行 Proxy 連線測試來關閉此模式。
開始之前
1 |
在 Web 瀏覽器中,開啟「混合資料安全性」節點介面(例如IP 位址/setup,https://192.0.2.0/setup), 輸入您為節點"安裝;設定"的管理員認證,然後按一下登入。 |
2 |
轉至概觀(預設頁面)。 啟用時,封鎖的外部 DNS 解析設定為是。 |
3 |
轉至信任儲存庫和 Proxy 頁面。 |
4 |
按一下檢查 Proxy 連線。 如果您看到有訊息指出外部 DNS 解析不成功,則節點無法連線至 DNS 伺服器且仍然採用此模式。否則,在您重新啟動節點並回到概觀頁面之後,封鎖的外部 DNS 解析應設定為「否」。 |
下一步
移除節點
1 |
使用您電腦上的 VMware vSphere 用戶端來登入 ESXi 虛擬主機並關閉虛擬機器的電源。 |
2 |
移除節點: |
3 |
在 vSphere 用戶端中,刪除VM。(在左側導覽窗格中,按右鍵一下VM ,然後按一下刪除。) 如果您不刪除VM,請記住解除掛載ISO設定檔案。如果沒有ISO檔案,您將無法使用VM來存取安全性資料。 |
使用待機資料中心進行災害復原
混合資料安全性叢集提供的最關鍵的服務是建立和儲存用於加密儲存在Webex雲端中的訊息及其他內容的金鑰。對於組織內指定給「混合資料安全性」的每個使用者,新的金鑰建立請求會路由至叢集。該叢集還負責將建立的金鑰傳回給獲授權擷取金鑰的任何使用者,例如,交談空間的成員。
由於該叢集會執行重要功能來提供這些金鑰,因此必須讓叢集保持執行中且必須維護適當的備份。混合資料安全性資料庫或用於綱要的設定ISO的遺失,將導致客戶內容的無法復原的遺失。若要防止此類流失,必須執行下列作法:
若災害導致主資料中心中的 HDS 部署不可用,請遵循此流程以手動故障轉移至備用資料中心。
1 |
啟動 HDS 設定工具,並遵循在為 HDS 主機建立設定ISO 。 |
2 |
設定完 Syslogd 伺服器後,按一下進階設定 |
3 |
於進階設定 頁面,在下面新增設定或移除
|
4 |
完成設定過程並將ISO檔案儲存在易於尋找的位置。 |
5 |
在您的本地系統上製作ISO檔案的備份。確保備份副本安全。此檔案包含用於資料庫內容的主要加密金鑰。僅將存取權限制為應當進行組態變更的那些「混合資料安全性」管理員。 |
6 |
在 VMware vSphere 用戶端的左側導覽窗格中,按右鍵一下VM ,然後按一下編輯設定。 。 |
7 |
按一下編輯設定 > CD/ DVD驅動器 1 並選取資料儲存區ISO檔案。 確保已連線 和開啟電源時連接 會檢查,以便更新的組態變更可以在啟動節點後生效。 |
8 |
開啟 HDS 節點的電源,並確保至少在 15 分鐘內沒有警報。 |
9 |
對備用資料中心中的每個節點重複此過程。 檢查 syslog 輸出,以驗證備用資料中心的節點是否未處於被動模式。「KMS 已設定為被動模式」不應出現在系統記錄中。 |
下一步
(可選)在 HDS 配置後解除掛載ISO
標準 HDS 組態在安裝ISO的情況下執行。但是,有些客戶不希望讓ISO檔案持續掛載。您可以在所有 HDS 節點選取新設定之後解除掛載ISO檔案。
您仍然使用ISO檔案來進行組態變更。當您透過設定工具建立新的ISO或更新ISO時,您必須在所有 HDS 節點上裝載更新的ISO 。當所有節點選取了組態變更後,您可以使用此程序再次解除掛載ISO 。
開始之前
將所有 HDS 節點升級至版本 2021.01.22.4720 或更高版本。
1 |
關閉其中一個 HDS 節點。 |
2 |
在 vCenter Server Appliance 中,選取 HDS 節點。 |
3 |
選擇資料儲存區ISO檔案。 並取消選取 |
4 |
開啟 HDS 節點並確保至少在 20 分鐘內沒有警報。 |
5 |
依次為每個 HDS 節點重複此操作。 |
混合資料安全性疑難排解
檢視警示並疑難排解
如果叢集中的所有節點都無法存取,或者叢集工作太慢以致請求逾逾時,則「混合資料安全性」部署被視為不可用。如果使用者無法聯絡您的「混合資料安全性」叢集,則他們會遇到下列症狀:
-
無法建立新空間(無法建立新金鑰)
-
無法解密下列使用者的訊息和空間標題:
-
新增至空間的新使用者(無法擷取金鑰)
-
空間中使用新用戶端的現有使用者(無法擷取金鑰)
-
-
只要空間中的現有使用者的用戶端具有加密金鑰的快取,他們將會繼續順利執行
請務必正確監控您的「混合資料安全性」叢集並立即解決任何警示以避免服務中斷。
警示
如果混合資料安全性設定有問題,Control Hub 會向組織管理員顯示警示,並向設定的電子郵件地址傳送電子郵件。警示涵蓋許多通用情境。
警示 |
動作 |
---|---|
本端資料庫存取失敗。 |
檢查資料庫錯誤或本端網路問題。 |
本端資料庫連線失敗。 |
檢查資料庫伺服器是否可用,以及在節點設定中是否使用了正確的服務帳戶認證。 |
雲端服務存取失敗。 |
檢查節點是否可以存取中指定的Webex伺服器外部連線需求。 |
更新雲端服務註冊。 |
已放棄註冊至雲端服務。正在更新註冊。 |
已放棄雲端服務註冊。 |
註冊至雲端服務已終止。服務正在關閉。 |
服務尚未啟動。 |
啟動試用版,或完成將試用版移至正式作業。 |
設定的網域不符合伺服器憑證。 |
確保伺服器憑證符合設定的服務啟動網域。 最可能的原因是最近變更了憑證 CN,且它現在不同於起始設定期間所使用的 CN。 |
無法向雲端服務驗證。 |
檢查服務帳戶認證的正確性以及是否可能過期。 |
無法開啟本端金鑰儲存庫檔案。 |
檢查本端金鑰儲存庫檔上的完整性和密碼正確性。 |
本端伺服器憑證無效。 |
檢查伺服器憑證的到期日期並確認它是由信任的憑證授權單位發出。 |
無法公佈度量。 |
檢查本端網路對外部雲端服務的存取權。 |
/media/configdrive/hds 目錄不存在。 |
檢查虛擬主機上的 ISO 裝載設定。驗證 ISO 檔是否存在,是否已設定為在重新啟動時裝載以及是否已順利裝載。 |
混合資料安全性疑難排解
1 |
複查 Control Hub 中的任何警示,並修正您在其中找到的任何項目。 |
2 |
複查 syslog 伺服器輸出,以了解混合資料安全性部署中的活動。 |
3 |
聯絡 Cisco 技術支援。 |
其他附註
混合資料安全性的已知問題
-
如果您關閉「混合資料安全性」叢集(在 Control Hub 中刪除該叢集或關閉所有節點)、遺失設定ISO檔案或失去對金鑰儲存庫資料庫的存取權,則Webex應用程式使用者無法再使用其人員下的空間。使用 KMS 中的金鑰建立的清單。這同時適用於試用版與正式作業部署。此問題目前沒有因應措施或修正程式,因此強烈要求您不要關閉正在處理活動使用者帳戶的 HDS 服務。
-
與 KMS 有現有 ECDH 連線的用戶端會維持該連線一段時間(很可能 1 小時)。當使用者成為混合資料安全性試用服務的成員時,該使用者的用戶端會繼續使用現有的 ECDH 連線,直到其逾時為止。或者,使用者可以登出並重新登入Webex應用程式,以更新應用程式聯絡以尋求加密金鑰的位置。
當您針對組織將試用版移至正式作業時會發生相同的行為。與先前資料安全性服務具有現有 ECDH 連線的非試用使用者將繼續使用那些服務,直到 ECDH 連線重新協商(透過逾時或登出再重新登入)為止。
使用 OpenSSL 來產生 PKCS12 檔
開始之前
-
OpenSSL 是一個工具,能夠用來建立適當格式的 PKCS12 檔以在「HDS 設定工具」中載入。還有其他方式執行此動作,我們不支援也不能將一種方式升級至另一種。
-
如果您確實選擇使用 OpenSSL,我們將提供此程序作為準則,協助您建立符合 X.509 憑證需求的檔案。 X.509 憑證需求。在繼續進行之前先瞭解這些需求。
-
在受支援的環境中安裝 OpenSSL。如需軟體與文件,請參閱 https://www.openssl.org。
-
建立私密金鑰。
-
當您收到來自憑證授權單位 (CA) 的伺服器憑證時,開始此程序。
1 |
當您收到來自 CA 的伺服器憑證時,請將它儲存成 |
2 |
將憑證顯示成文字,並驗證詳細資料。
|
3 |
使用文字編輯器來建立稱為
|
4 |
建立 .p12 檔並使用易記的名稱
|
5 |
檢查伺服器憑證詳細資料。 |
下一步
返回到完成混合資料安全性的先決條件。您將使用hds節點.p12
檔案以及您為該檔案設定的密碼,在為 HDS 主機建立設定ISO 。
當原始憑證過期時,您可以重複使用這些檔案來請求新憑證。
HDS 節點與雲端之間的流量
外撥度量收集流量
混合資料安全性節點將某些指標傳送至Webex雲端。其中包括資料堆上限、已用資料堆、CPU 負載以及執行緒計數的系統度量;同步與非同步執行緒上的度量;涉及上千個加密連線、延遲或請求佇列長度之警示上的度量;資料儲存庫上的度量;以及加密連線度量。節點透過頻外(不同於請求)通道來傳送加密的金鑰資料。
傳入流量
混合資料安全性節點從Webex雲端接收以下類型的入埠流量:
-
來自用戶端的加密請求,由加密服務路由
-
節點軟體的升級
設定 Squid Proxy 以實現混合資料安全
Websocket 無法透過 Squid Proxy 連線
檢查 HTTPS 流量的 Squid Proxy 可能會干擾 WebSocket 的建立 ( wss:
) 連線。這些章節提供了有關如何設定各種版本 Squid 的指導,以使其忽略 wss:
流量,從而確保服務正確運作。
Squid 4 和 5
新增on_unsupported_protocol
指示為squid 設定檔
:
on_unsupported_protocol 全部傳送
Squid 3.5.27
我們透過新增以下規則至 squid.conf
,成功地測試了混合資料安全。這些規則可能會隨著我們開發新功能和更新 Webex 雲端而進行變更。
acl wssMercuryConnection ssl::server_name_regex 水銀連接ssl_bump 拼接 wssMercuryConnection acl 步驟 1at_step SSLBump1 acl 步驟 2at_step SSLBump2 acl 步驟 3at_step SSLBump3ssl_bump 全部查看步驟 1ssl_bump 全部注視第 2 步ssl_bump 全部顛倒第 3 步